<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Шлем помогает защитить ваши приложения Express, установив различные заголовки HTTP. Установите пакет, а затем выполните его.</p></section>

Install and Require Helmet

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Хакеры могут использовать известные уязвимости в Express / Node, если они видят, что ваш сайт работает от Express. X-Powered-By: Экспресс отправляется по каждому запросу, поступающему из Express по умолчанию. Средство helmet.hidePoweredBy () удалит заголовок X-Powered-By. Вы также можете явно настроить заголовок на что-то еще, чтобы отключить людей. например app.use (helmet.hidePoweredBy ({setTo: 'PHP 4.2.0'}))</p></section>

Hide Potentially Dangerous Information Using helmet.hidePoweredBy()

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Ваша страница может быть помещена в <code>&#x3C;frame></code> или <code>&#x3C;iframe></code> без вашего согласия. Это, в частности, может привести к атакам с помощью clickjacking. Clickjacking - это метод обмана пользователя во взаимодействии со страницей, отличной от того, что, по мнению пользователя, является. Это может быть достигнуто при выполнении вашей страницы во вредоносном контексте с помощью iframing. В этом контексте хакер может поместить скрытый слой поверх вашей страницы. Скрытые кнопки могут использоваться для запуска плохих сценариев. Это промежуточное программное обеспечение устанавливает заголовок X-Frame-Options. Он ограничивает, кто может разместить ваш сайт в кадре. Он имеет три режима: DENY, SAMEORIGIN и ALLOW-FROM. Нам не нужно, чтобы наше приложение было обрамлено. Вы должны использовать <code>helmet.frameguard()</code> передавая объект конфигурации <code>{action: 'deny'}</code> .</p></section>

Mitigate the Risk of Clickjacking with helmet.frameguard()

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Межсайтовый скриптинг (XSS) является частым типом атаки, когда вредоносные скрипты вводятся на уязвимые страницы с целью кражи конфиденциальных данных, таких как файлы cookie сеансов или пароли. Основное правило снизить риск атаки XSS очень просто: «Никогда не доверяйте пользовательскому вводу». Как разработчик, вы всегда должны дезинфицировать все входящие извне. Сюда входят данные, поступающие из форм, URL-адреса запроса GET и даже из органов POST. Sanitizing означает, что вы должны найти и закодировать символы, которые могут быть опасны, например &#x3C;,>. Современные браузеры могут помочь смягчить риск, приняв более совершенные стратегии программного обеспечения. Часто они настраиваются через заголовки http. HTTP-заголовок X-XSS-Protection является основной защитой. Браузер обнаруживает потенциальный вложенный сценарий с использованием эвристического фильтра. Если заголовок включен, браузер меняет код сценария, нейтрализуя его. Он по-прежнему имеет ограниченную поддержку.</p></section>

Mitigate the Risk of Cross Site Scripting (XSS) Attacks with helmet.xssFilter()

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Браузеры могут использовать контент или MIME-нюхание, чтобы адаптироваться к различным типам данных, исходящим из ответа. Они переопределяют заголовки Content-Type для угадывания и обработки данных. Хотя это может быть удобно в некоторых сценариях, это также может привести к некоторым опасным атакам. Это промежуточное ПО устанавливает заголовок X-Content-Type-Options в nosniff. Это указывает браузеру не обходить предоставленный Content-Type.</p></section>

Avoid Inferring the Response MIME Type with helmet.noSniff()

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Некоторые веб-приложения будут служить ненадежным HTML для загрузки. Некоторые версии Internet Explorer по умолчанию открывают эти HTML-файлы в контексте вашего сайта. Это означает, что ненадежная HTML-страница может начать делать плохие вещи в контексте ваших страниц. Это промежуточное ПО устанавливает заголовок X-Download-Options в noopen. Это не позволит пользователям IE выполнять загрузку в контексте доверенного сайта.</p></section>

Prevent IE from Opening Untrusted HTML with helmet.ieNoOpen()

<section id="description">
<p> Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . HTTP Strict Transport Security (HSTS) - это политическая политика веб-безопасности, которая помогает защитить веб-сайты от атак с понижением протокола и захвата файлов cookie. Если ваш веб-сайт можно получить через HTTPS, вы можете попросить браузеры пользователей избегать использования небезопасного HTTP. Установив заголовок Strict-Transport-Security, вы указываете браузерам использовать HTTPS для будущих запросов за определенное время. Это будет работать для запросов, поступивших после первоначального запроса. Настройте helmet.hsts (), чтобы использовать HTTPS в течение следующих 90 дней. Передайте объект конфигурации {maxAge: timeInSeconds, force: true}. У глюка уже включен hsts. Чтобы переопределить свои настройки, вам нужно установить для поля «значение силы» значение true в объекте конфигурации. Мы будем перехватывать и восстанавливать заголовок Glitch, после проверки его на тестирование. Примечание. Для настройки HTTPS на пользовательском веб-сайте требуется получение домена и сертификат SSL / TSL. </p></section>

Ask Browsers to Access Your Site via HTTPS Only with helmet.hsts()

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Чтобы повысить производительность, большинство браузеров предварительно выбирают записи DNS для ссылок на странице. Таким образом, IP-адрес назначения уже известен, когда пользователь нажимает на ссылку. Это может привести к чрезмерному использованию службы DNS (если у вас есть большой веб-сайт, посетивший миллионы людей ...), вопросы конфиденциальности (один подслушиватель может сделать вывод о том, что вы находитесь на определенной странице) или изменение статистики страницы (некоторые ссылки могут появляются, даже если их нет). Если у вас есть высокая безопасность, вы можете отключить предварительную выборку DNS за счет штрафа за производительность.</p></section>

Disable DNS Prefetching with helmet.dnsPrefetchControl()

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Если вы выпускаете обновление для своего сайта и хотите, чтобы пользователи всегда загружали более новую версию, вы можете (попытаться) отключить кеширование в браузере клиента. Это может быть полезно и в разработке. Кэширование имеет преимущества производительности, которые вы потеряете, поэтому используйте эту опцию только тогда, когда есть настоящая необходимость.</p></section>

Disable Client-Side Caching with helmet.noCache()

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . Эта проблема подчеркивает одну многообещающую новую защиту, которая может значительно снизить риск и влияние многих типов атак в современных браузерах. Установив и настроив политику безопасности контента, вы можете предотвратить ввод чего-либо непредвиденного в вашу страницу. Это защитит ваше приложение от уязвимостей XSS, нежелательного отслеживания, вредоносных фреймов и т. Д. CSP работает, определяя белый список источников контента, которым доверяют. Вы можете настроить их для каждого вида ресурсов, которые могут понадобиться веб-странице (скрипты, таблицы стилей, шрифты, фреймы, медиа и т. Д.). Существует несколько директив, поэтому владелец веб-сайта может иметь подробный контроль. См. HTML 5 Rocks, KeyCDN для более подробной информации. К сожалению, CSP не поддерживается старым браузером. По умолчанию директивы широко открыты, поэтому важно установить директиву defaultSrc как резервную. Шлем поддерживает стили именования defaultSrc и default-src. Отказ применяется к большинству неуказанных директив. В этом упражнении используйте helmet.contentSecurityPolicy () и настройте его, указав директиву по умолчаниюSrc на ["self"] (список разрешенных источников должен быть в массиве), чтобы по умолчанию доверять только ваш адрес веб-сайта. Задайте также директиву scriptSrc, чтобы разрешить загрузку скриптов с вашего сайта и из домена «trusted-cdn.com». Подсказка: в ключе «ключевое слово» одиночные кавычки являются частью самого ключевого слова, поэтому его нужно заключить в двойные кавычки для работы.</p></section>

Set a Content Security Policy with helmet.contentSecurityPolicy()

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-infosec/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-infosec/">GitHub</a> . app.use (helmet ()) будет автоматически включать все промежуточное программное обеспечение, введенное выше, за исключением noCache () и contentSecurityPolicy (), но при необходимости они могут быть активированы. Вы также можете отключить или настроить любое другое промежуточное программное обеспечение индивидуально, используя объект конфигурации. // Пример <code>app.use(helmet({</code> <code>frameguard: { // configure</code> <code>action: 'deny'</code> <code>},</code> <code>contentSecurityPolicy: { // enable and configure</code> <code>directives: {</code> <code>defaultSrc: ["self"],</code> <code>styleSrc: ['style.com'],</code> <code>}</code> <code>},</code> <code>dnsPrefetchControl: false // disable</code> <code>}))</code> Мы вводили каждое промежуточное программное обеспечение отдельно для целей обучения и для удобства тестирования. Использование «родительского» шлема () промежуточного программного обеспечения является самым простым и более чистым, для реального проекта.</p></section>

Configure Helmet Using the ‘parent’ helmet() Middleware

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-bcrypt/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-bcrypt/">GitHub</a> . Хэши BCrypt очень надежны. Хэш - это в основном отпечаток исходных данных - всегда уникальный. Это достигается путем подачи исходных данных в алгоритм и возврата результата фиксированной длины. Чтобы еще больше усложнить этот процесс и сделать его более безопасным, вы также можете <em>солить</em> свой хэш. Соление вашего хэша включает в себя добавление случайных данных в исходные данные до процесса хэширования, что еще более усложняет процесс хэширования. Хэши BCrypt всегда будут выглядеть как <code>$2a$13$ZyprE5MRw2Q3WpNOGZWGbeG7ADUre1Q8QO.uUUtcbqloU0yvzavOm</code> который имеет структуру. Первый маленький бит данных <code>$2a</code> определяет, какой хэш-алгоритм использовался. Следующая часть <code>$13</code> определяет <em>стоимость</em> . Стоимость - это то, сколько энергии требуется для вычисления хэша. Он находится в логарифмическом масштабе 2^стоимости и определяет, сколько раз данные передаются через алгоритм хэширования. Например, по цене 10 вы можете хэш-код на 10 паролей на среднем компьютере, однако по цене 15 требуется 3 секунды за хэш ... и взять его дальше, по цене 31 требуется несколько дней для завершения хэша. В настоящее время стоимость 12 считается очень безопасной. Последняя часть вашего хэша <code>$ZyprE5MRw2Q3WpNOGZWGbeG7ADUre1Q8QO.uUUtcbqloU0yvzavOm</code> , выглядит как 1 большая строка чисел, периодов и букв, но на самом деле это две отдельные части информации. Первые 22 символа - соль в обычном тексте, а остальные - хэшированный пароль! <hr> Чтобы начать использовать BCrypt, добавьте его как зависимость в свой проект и потребуйте его как «bcrypt» на вашем сервере. Представьте свою страницу, когда вы думаете, что у вас все в порядке.</p></section>

Understand BCrypt Hashes

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-bcrypt/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-bcrypt/">GitHub</a> . Поскольку хеширование рассчитано на интенсивность вычислений, рекомендуется делать это асинхронно на вашем сервере, чтобы избежать блокировки входящих соединений, пока вы hash. Все, что вам нужно сделать для хэша, асинхронный пароль - это вызов <code>bcrypt.hash(myPlaintextPassword, saltRounds, (err, hash) => { /*Store hash in your db*/ });</code> <hr> Добавьте эту хеширующую функцию на свой сервер (мы уже определили переменные, используемые в этой функции для вас) и запишите ее на консоль, чтобы вы ее увидели! На этом этапе вы обычно сохраняете хэш в своей базе данных. Теперь, когда вам нужно выяснить, являются ли новые данные теми же данными, что и хеш, вы просто используете функцию сравнения <code>bcrypt.compare(myPlaintextPassword, hash, (err, res) => { /*res == true or false*/ });</code> , Добавьте это в свою существующую хеш-функцию (поскольку вам нужно дождаться завершения хеша до вызова функции сравнения) после того, как вы зарегистрируете завершенный хэш и запишите «res» на консоль в сравнении. Вы должны увидеть в консоли хэш, тогда напечатано «true»! Если вы измените «myPlaintextPassword» в функции сравнения на «someOtherPlaintextPassword», тогда он должен сказать false. <pre> bcrypt.hash ('passw0rd!', 13, (err, hash) => {
  console.log (хэш); //$2a$12$Y.PHPE15wR25qrrtgGkiYe2sXo98cjuMCG1YwSI5rJW1DSJp0gEYS
  bcrypt.compare ('passw0rd!', hash, (err, res) => {
      console.log (RES); //правда
  });
}); </pre> Представьте свою страницу, когда вы думаете, что у вас все в порядке.</p></section>

Hash and Compare Passwords Asynchronously

<section id="description">
<p>Напомним, что этот проект строится на следующем стартовом проекте <a href="https://glitch.com/#!/import/github/freeCodeCamp/boilerplate-bcrypt/">Glitch</a> или клонируется из <a href="https://github.com/freeCodeCamp/boilerplate-bcrypt/">GitHub</a> . Хеширование синхронно так же легко сделать, но может вызвать отставание, если использовать его на стороне сервера с высокой стоимостью или с хешированием, сделанным очень часто. Хеширование с помощью этого метода так же просто, как вызов <code>var hash = bcrypt.hashSync(myPlaintextPassword, saltRounds);</code> <hr> Добавьте этот метод хэширования к вашему коду, а затем запишите результат на консоль. Опять же, используемые переменные уже определены на сервере, поэтому вам не нужно их корректировать. Вы можете заметить, что даже если вы используете тот же пароль, что и в асинхронной функции, результат в консоли отличается - это связано с тем, что соль произвольно генерируется каждый раз, как видно из первых 22 символов в третьей строке хэша , Теперь, чтобы сравнить ввод пароля с новым хэшем синхронизации, вы должны использовать метод compareSync: <code>var result = bcrypt.compareSync(myPlaintextPassword, hash);</code> с результатом будет логическое значение true или false. Добавьте эту функцию и войдите в консоль в результате, чтобы увидеть ее работу. Представьте свою страницу, когда вы думаете, что у вас все в порядке. Если вы столкнулись с ошибками во время этих проблем , вы посмотрите на пример завершенного код можно <a href="https://gist.github.com/JosephLivengood/9a2698fb63e42d9d8b4b84235c08b4c4">здесь</a> .</p></section>