No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Reg铆strate

Comienza en:

2D
2H
3M
12S

Configurando nuestro servidor para producci贸n

13/22
Recursos

Aportes 11

Preguntas 0

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Al incluir app.disable(鈥榵-powered-by鈥); en el else e inspeccionar en el network del devtools me fij茅 que sigue expuesto el header x-powered-by. Es decir, no funcion贸. Luego de investigar consegu铆 solucionarlo con un res.removeHeader(鈥渪-powered-by鈥); justo antes del res.send(); que est谩 al final de la funci贸n renderApp().

Interesante lo de x-powered-by, no lo sab铆a 馃槷

Ni app.disable('x-powered-by');, ni res.removeHeader('x-powered-by'); me funcionaron.

Al final logr茅 hacerlo de la siguiente manera:

app.set('x-powered-by', false);

Y eso lo hice antes de la l铆nea app.get('*', renderApp);

Error: Refused to load the image 鈥<URL>鈥 because it violates the following Content Security Policy directive: 鈥渋mg-src 鈥榮elf鈥 data:鈥.

Helmet nos ayuda a proteger nuestras aplicaciones Express configurando varios encabezados HTTP.

const helmet = require(鈥渉elmet鈥);
app.use(helmet());
app.use(helmet.permittedCrossDomainPolicies());
app.disable(鈥榵-powered-by鈥) podemos desabilitar cabezeras
Como funciona el X-POWERED-BY el servidor normalmente tiene informaci贸n del servidor desde que nos conectamos, lo que quiero decir es que si nos conectamos desde EXPRESS o esta sirviendo desde un servidor de EXPRESS el navegador puede saber lo siguiente: Al deshabilitar la cabecera o hay manera de que el navegador pueda saber desde donde nos estamos conectando y asi evitar ataques dirigidos a ciertos Frameworks.

Hola Devs:
Aqui pueden darle una pasada a HelmetJS, muy bueno: Click Aqui

Explicaci贸n de "x-powered-by" y su importancia en la seguridad de nuestra p谩gina web

Seg煤n la documentaci贸n de helmet, el m茅todo permittedCrossDomainPolicies ya viene por defecto llamando solo al helmet helmet()

revisen la documentacion antes de implementar Helmet
revisenlo aca en NPM npmjs.com/package/helmet

Gracias por el aporte