问题描述
我有一个使用Node&Express构建的web应用,该应用在FactoryBot.define do
factory :user do
sequence(:email) { |n| "person#{n}@example.com" }
password {'blablabla'}
end
factory :token do
association :user,factory: :user
refresh_token {"XXXXX"}
end
factory :profile do
association :user,factory: :user
association :token,factory: :token
end
end
目录中具有一些js,css和资产文件(图像)。
/public
最近我一直在使用OWASP Zap来扫描应用程序,并确保已达到安全性最佳实践。
缺少X-Content-Type-Options标头
但是,在app.use(express.static(__dirname + '/public'));中,我进行了以下设置:index.js,并且可以从部署的应用程序上的Chrome开发人员工具中进行验证。
进一步查看由扫描生成的报告-似乎Web应用程序URL实际上并不会产生此警告,而是向res.set('X-Content-Type-Options',"nosniff");和js/和{{1 }}资源。
这使我陷入了一个循环,我不确定到底该如何解决这个问题,或者我是否以某种方式配置了我的快速服务器以使其首先出现。
扫描为css/标头返回了类似的问题,但是我已经能够在为该标头设置的值中添加assets/来解决该特定问题。但是Strict-Transport-Security标头似乎没有相似的值。
任何建议或见识将不胜感激!干杯。
也;这个问题似乎与this question类似,尽管该问题已经存在了两年,没有得到回答,并且使用了不同的框架进行应用,所以我认为这不是重复的问题。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)