如何在 Express.js 中使用 HTTPS

在现代互联网应用中，HTTPS 已成为标配，它可以保证数据传输的安全性。Express.js 作为一个流行的 Node.js Web 框架，也提供了丰富的接口可以让我们很容易地启用 HTTPS。在本文中，我们将会深入探讨如何在 Express.js 中使用 HTTPS，并提供示例代码和指导意义。

1. 什么是 HTTPS

HTTPS（Hyper Text Transfer Protocol Secure）是 HTTP 的安全版，即在原有的 HTTP 协议上增加了 SSL/TLS 协议来加密数据传输，防止被黑客窃取或篡改信息。采用 HTTPS 进行网站访问可以提高信息安全性，保障用户数据的隐私。

2. 如何在 Express.js 中启用 HTTPS

Express.js 提供了 HTTPS 模块可以让我们很容易地启用 HTTPS。我们可以通过以下步骤来实现：

1. 生成 SSL 证书

在启用 HTTPS 之前，你需要一个 SSL 证书。你可以自己生成 SSL 证书，也可以购买 SSL 证书。不过在测试环境下，可以使用自己生成的证书。你可以使用 OpenSSL 工具来生成 SSL 证书，具体代码如下：

$ openssl req -x509 -newkey rsa:2048 -nodes -sha256 -subj '/CN=localhost' \
 -keyout server.key -out server.cert

上面的代码将会生成一个有效期为一个月的 SSL 证书。你需要将证书保存在你的 Express.js 应用程序下，并在启用 HTTPS 时使用。

1. 配置 Express.js 应用程序

要启用 HTTPS，你需要对 Express.js 应用程序进行一些配置，比如设置端口号，使用 SSL 证书等。以下是一个示例代码：

-- -------------------- ---- -------
----- -- - --------------
----- ----- - -----------------
----- ------- - -------------------

----- --- - ----------
----- ---- - ---------------------- -- -----

----- ------- - -
    ---- ------------------------- - ---------------
    ----- ------------------------- - ---------------
--

--------------------------- ----------------- -- -- -
    ---------------- --------- -- ---- -------- -- -- -----------------------------
---

------------ ----- ---- -- -
    --------------- ---------
---

上面的代码使用了 fs 模块读取了本地的 SSL 证书文件，并设置了相关选项，然后使用 https 模块创建了一个 HTTPS Web 服务器。最后将 Express.js 应用程序添加到了 HTTPS 服务器中。

1. 启动应用程序

现在你可以启动你的 Express.js 应用程序了，我们可以通过运行以下命令来启动应用程序：

$ HTTPS_PORT=4000 node app.js

在以上代码中，我们传递了一个名为 HTTPS_PORT 的环境变量。此环境变量指定了我们应用程序使用的端口号。

现在你可以通过访问 https://localhost:4000 来访问你的应用程序了。

3. 避免常见的 HTTPS 错误

在启用 HTTPS 时，我们可能会遇到各种各样的错误。以下是一些常见的 HTTPS 错误，以及如何避免它们。

3.1 SSL 证书错误

在启用 HTTPS 时，你可能会遇到如下错误：

Error: self signed certificate in certificate chain

这个错误是因为你使用了自己生成的 SSL 证书，浏览器无法验证其合法性。为了避免这个问题，你应该使用有效的 SSL 证书。

3.2 HTTPS 请求问题

当你的应用程序在 HTTPS 模式下运行时，你需要确保所有的请求都是通过 HTTPS 发起的。你可以使用以下代码来确保该条件：

app.use(function(req, res, next) {
    if(req.secure) {
        next();
    } else {
        res.redirect('https://' + req.headers.host + req.url);
    }
});

3.3 CSRF 攻击

如果你在应用程序中使用了 CSRF 防护机制，你需要在配置文件中设置 CSRF 在 HTTPS 模式下的 cookie 安全性，以避免安全漏洞。示例代码如下：

-- -------------------- ---- -------
---------------
    ------- -
        ---- --------
        ------- -----
        --------- -------
        --------- -----
        ------- -------------------------- -- ----------
        ----- ----
        ------- -- - -- - -- - -- -- ---
    -
----

总结

HTTPS 可以保证数据传输的安全性，已成为现代互联网应用的标配。在 Express.js 中启用 HTTPS 也变得轻而易举。我们通过本文深入探讨了如何在 Express.js 中启用 HTTPS，并提供了示例代码和避免常见 HTTPS 错误的方法，希望能为大家带来指导意义。

来源：JavaScript中文网 ，转载请注明来源 https://www.javascriptcn.com/post/645539e1968c7c53b08db763