npm 包 fastify-frame-guard 使用教程-JavaScript中文网-JavaScript教程资源分享门户

在前端开发中，网站安全性是一个十分重要的问题。其中之一就是如何防范网站被 Clickjacking 攻击。Clickjacking 就是利用 iframe 的透明度或者位置掩盖网页上的一些按钮，将用户点击的按钮伪装为另一个按钮，从而进行一些恶意操作。为了防范 Clickjacking，我们可以使用一个 npm 包叫做 fastify-frame-guard。

fastify-frame-guard 是什么

fastify-frame-guard 是专门为 fastify 框架设计的一个防范 Clickjacking 的模块。它可以实现以下功能：

增加 X-Frame-Options 的响应头，限制网页在 iframe 中的使用；
增加 Content-Security-Policy 的响应头，限制 iframe 的使用；
增加 Set-Cookie 的响应头，防止 Cookie 被附加在 iframe 中的 GET 请求中；
为 options 请求方式添加 Cors 的响应头，防止 CSRF 攻击。

fastify-frame-guard 的使用方法十分简单，只需要在 fastify 的实例上注册即可。

fastify-frame-guard 的安装及使用

安装

要使用 fastify-frame-guard，我们先需要使用 npm 进行安装。

npm i fastify-frame-guard

注册插件

安装完成后，在 fastify 的实例上注册 fastify-frame-guard 插件即可。

const fastify = require('fastify')()
fastify.register(require('fastify-frame-guard'), {
  action: 'deny'
})

这里我们设置 action 为 deny，表示拒绝网页在 iframe 中的使用。fastify-frame-guard 的 options 如下：

action：它的值可以是 deny, sameorigin 或者 allow-from uri。
setAllHeaders：表示是否设置所有类别 headers，默认是 true。
xFrameOptions：一个对象，其中 keys 的值是其对应 headers 的名字，例如 xFrameOptions，keys 可以是 strict-transport-security，xss-protection，frame-guard，content-security-policy，以及 expect-ct，values 则是 headers 对应的值。
csp：一个包含 CSP 相关设置的对象，在 fastify-frame-guard 中 CSP 支持以下 keys：

{
  policy: 'default-src self',
  reportUri: '/some-uri',
  reportOnly: false,
  sandbox: 'allow-forms ...',
  disableAndroid: false,
}

cookies：一个包含设置 cookies 的对象，其中的 key 值是 headers 的名字，value 是其对应 headers 的值。

{
  key: '',
  value: '',
  domain: '',
  path: '',
  secure: '',
  sameSite: ''
}

示例代码

-- -------------------- ---- -------
----- ------- - --------------------
------------------------------------------------ -
  ------- -------
  -------------- -----
  -------------- -
    ----------- ------
  --
  ---- -
    ------- ------------ --------
    ---------- --------------------
    ----------- ------
    -------- ------------ ---------------
    --------------- ------
  --
  -------- -
    ---- -------------------
    ------ --------------------
    ------- ---------------
    ----- ----
    ------- -----------
    --------- ------
  -
--

小结

本文介绍了 fastify-frame-guard 这个 npm 包，它是专门为 fastify 框架设计的一个防范 Clickjacking 的模块，可以为网站增加 X-Frame-Options 的响应头、Content-Security-Policy 的响应头、Set-Cookie 的响应头、防止 CSRF 攻击等功能。在前端开发中，网站安全性很重要，fastify-frame-guard 可以帮助我们有效防范 Clickjacking 攻击。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/60065f91238a385564ab6fc0