node.js - 如何防止通过 Cloudfront、EC2 和 S3 上的静态站点运行的站点上的点击劫持和缓慢发布
问题描述
我在 S3 上托管一个静态反应站点,并在 EC2 实例上运行我的服务器。我的生产版本通过 Cloudfront 运行以附加 HTTPS 证书。
在第三方运行测试以搜索安全漏洞后,单击劫持,未设置 X-Frame-Options 并且慢发布漏洞是唯一剩下的问题。
我希望我的 Node/express 服务器中的以下代码应该解决 X-Frame-Options 问题以及点击劫持问题,但我不确定,因为我相信(但非常不确定)这些解决方案可能需要在 Cloudfront 中完成/AWS。
app.use((req, res, next) => {
res.setHeader('X-Frame-Options', 'SAMEORIGIN');
next();
});
我也了解防止慢速攻击的方法之一是为端点设置超时(默认为 2 分钟)。我想知道建议的超时应该是多少(应记住上传文件的 40mb 限制,用户可以拥有各种互联网连接,但都在第一世界国家)以及在服务器中的哪个位置实现这一点?
提前感谢任何解决方案/澄清。
解决方案
推荐阅读
- database - Windev - 创建数据库管理(后台)
- c# - IIS 服务器如何同时处理请求?
- .net-core - Blazor WASM 的 JetBrains Rider 或 Dotnet Core 缓存问题
- java - 如何使用 java 的 try/catch 来阻止零除错误?
- angular - 如何为用户名配置放大注册?
- javascript - “必需”时选择下拉菜单出现问题
- amazon-web-services - 如何将 CODEPIPELINE 指定为 CDK 中代码构建项目的源类型和工件?
- c++ - 如何使用 boost::thread_group 使用多客户端服务器?
- spring - 在 Spring 上下文初始化时显示静态 HTML 页面
- postgresql - 不能返回文本的 btree 索引函数