gaspersic/freeCodeCamp
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
Files
main
freeCodeCamp/curriculum/challenges/ukrainian/09-information-security/information-security-with-helmetjs/ask-browsers-to-access-your-site-via-https-only-with-helmet.hsts.md

3.3 KiB
Raw Permalink Blame History

id, title, challengeType, forumTopicId, dashedName
id title challengeType forumTopicId dashedName
587d8248367417b2b2512c3c Надавайте браузеру доступ до Вашого сайту тільки через HTTPS за допомогою helmet.hsts() 2 301573 ask-browsers-to-access-your-site-via-https-only-with-helmet-hsts

--description--

Нагадуємо, що цей проект створюється на основі наступного початкового проекту Replit або копіюється з GitHub.

HTTP Strict Transport Security (HSTS) - це політика веб-безпеки, яка допомагає захистити вебсайти від атак зниження рівня на протокол та крадіжку куки. Якщо доступ до вашого веб-сайту можна отримати через HTTPS-протокол, запобігайте використанню браузером незахищеного HTTPS-протоколу. Встановлюючи заголовок Strict-Transport-Security, ви вказуєте браузерам використовувати протокол HTTPS для майбутніх запитів протягом певного періоду часу. Це спрацює для запитів, які слідують після початкового запиту.

--instructions--

Налаштуйтеhelmet.hsts()для використання HTTPS-протоколу протягом наступних 90 днів. Передайте об'єкт конфігурації{maxAge: timeInSeconds, force: true}. Ви можете створити зміннуninetyDaysInSeconds = 90*24*60*60; для застосування в timeInSeconds. Replit вже включає в себе hsts. Для зміни його налаштувань необхідно встановити поле "force" в об'єкті конфігурації. Ми перехопимо і відновимо заголовок Replit після перевірки.

Примітка: Налаштування HTTPS на вебсайті користувача передбачає придбання домену та SSL/TLS сертифікату.

--hints--

проміжне програмне забезпечення helmet.hsts() необхідно правильно встановити

(getUserInput) =>
  $.get(getUserInput('url') + '/_api/app-info').then(
    (data) => {
      assert.include(data.appStack, 'hsts');
      assert.property(data.headers, 'strict-transport-security');
    },
    (xhr) => {
      throw new Error(xhr.responseText);
    }
  );

maxAge повинен дорівнювати 7776000 сек (90 днів)

(getUserInput) =>
  $.get(getUserInput('url') + '/_api/app-info').then(
    (data) => {
      assert.match(
        data.headers['strict-transport-security'],
        /^max-age=7776000;?/
      );
    },
    (xhr) => {
      throw new Error(xhr.responseText);
    }
  );

--solutions--

/**
  Backend challenges don't need solutions, 
  because they would need to be tested against a full working project. 
  Please check our contributing guidelines to learn more.
*/