如何使用头盔让你的 Express API 更安全

2025-06-05

如何使用头盔让你的 Express API 更安全

安全至关重要!您担心 API 的安全性吗?

当谈到使用 Express.js 构建的 API 时,一个简单的步骤可以帮助您提高系统的安全级别:Helmet 库。

替代文本

头盔是什么?

Helmet是一个 Express.js 的库,聚合了 12 个简单的中间件,负责设置 HTTP 响应中的一些标头。

下面我们做一个简单的例子:

简单示例

$ mkdir my-api
$ cd my-api
$ npm init -y
$ npm install express --save
Enter fullscreen mode Exit fullscreen mode

创建文件index.js

const express = require('express')

const app = express()

app.get('/', (request, response) => {
  return response.json({
    api: 'live'
  })
})

app.listen(3000)
Enter fullscreen mode Exit fullscreen mode

启动服务器:

$ node index.js
Enter fullscreen mode Exit fullscreen mode

注意不使用头盔时请求返回的标头:

替代文本

我们将头盔包含在我们的 API 中。首先,安装以下软件包:

$ npm install helmet --save
Enter fullscreen mode Exit fullscreen mode

在 Express 应用程序中导入并包含如下内容:

const express = require('express')
const helmet = require('helmet')

const app = express()

app.use(helmet())

app.get('/', (request, response) => {
  return response.json({
    api: 'live'
  })
})

app.listen(3000)
Enter fullscreen mode Exit fullscreen mode

重启服务器:

$ node index.js
Enter fullscreen mode Exit fullscreen mode

发现头盔定义的新标题:

替代文本

这些标头为您的 API 增加了额外的安全级别。例如,Strict-Transport-Security它允许网站通知浏览器只能通过 HTTPS 访问,而不能使用 HTTP。

有些中间件默认启用,有些则不启用。了解更多信息,请访问https://helmetjs.github.io/

再见

文章来源:https://dev.to/gabrielrufino/how-to-make-your-express-api-more-secure-with-helmet-3gki
Devto 翻译
PREV
保护 Semper os Contornos CSS:Uma Abordagem Essencial
NEXT
创建虚拟 API 以加快原型设计速度👨‍💻⚡