在使用 Node.js 进行 Web 开发时经常需要使用 Express 框架。为了提高网站安全性,我们需要启用 HTTPS。但是在我们还没有购买 SSL 证书之前,我们可以使用自签证书来实现 HTTPS 连接。而这个过程比较繁琐,包括证书生成、证书部署等等。为了简化这个过程,我们可以使用 NPM 包 Express-https-redirect。
什么是 Express-https-redirect
Express-https-redirect 是一个 Express 中间件,用于将 HTTP 请求重定向到 HTTPS。该模块使用了 301 永久重定向,保证了搜索引擎可以正确地处理这个 URL 的更新,同时还设置了 HSTS 头部,以确保客户端的安全。
安装和使用方法
安装
使用 NPM 安装 Express-https-redirect:
npm install express-https-redirect
使用
在 app.js 中引入 Express-https-redirect 模块并设置中间件:
-- -------------------- ---- ------- ----- ------- - ------------------- ----- ------------- - ---------------------------------- ----- --- - ---------- -- -- ----- ------ ------------ ----------------- ------------ ----- ---- -- - --------------- -------- --- ---------------- -- -- - ---------------- --------- -- ---- -------- ---
在上面的代码中,我们使用 httpsRedirect() 返回的中间件来处理所有请求。这个中间件将拦截所有 HTTP 请求并将其重定向到 HTTPS。
设置 HSTS 头部
为了进一步提高网站的安全性,我们需要设置一个 HSTS 头部。这个头部会告诉浏览器在一段时间内强制使用 HTTPS 访问网站。在 Express 中,我们可以使用 maxAge 选项来设置 HSTS 头部:
-- -------------------- ---- ------- ----- ------- - ------------------- ----- ------------- - ---------------------------------- ----- --- - ---------- -- -- ----- ------ ------------ --------------- ------- -------- -- -- ---- ------------ ----- ---- -- - --------------- -------- --- ---------------- -- -- - ---------------- --------- -- ---- -------- ---
以上代码设置了一个 HSTS 头部,在一年内所有访问该网站的浏览器都会被强制使用 HTTPS 协议。
示例代码
下面是一个完整的示例代码,包括自签证书的生成和部署:
-- -------------------- ---- ------- ----- -- - -------------- ----- ----- - ----------------- ----- ------- - ------------------- ----- ------------- - ---------------------------------- ----- --- - ---------- -- --------- ----- ---------- - ----------------------------- -------- ----- ----------- - ----------------------------- -------- -- -- ----- -- ----- ------------ - - ---- ----------- ----- ----------- -- -- -- ----- ------ ------------ --------------- ------- -------- -- -- ---- -- ---- ------ ----- ------------ ----- ---- -- - --------------- -------- --- -- ---- -------------------------------- ---------------- -- -- - ---------------- --------- -- ---- ------- ---
在上面的代码中,我们首先使用 fs 模块读取生成的密钥和证书文件,然后配置 HTTPS 选项。接着使用 Express-https-redirect 中间件处理所有 HTTP 请求并将其重定向到 HTTPS。
最后,我们使用 https.createServer() 方法创建一个 HTTPS 服务并监听 443 端口。这样我们就实现了一个基于自签证书的 HTTPS 服务。
总结
Express-https-redirect 为我们提供了一个方便的中间件,能够自动将 HTTP 请求重定向到 HTTPS,同时帮助我们设置 HSTS 头部,提高了网站的安全性。简化了 HTTPS 启用流程。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/61557