Переадресация HTTPS для всех маршрутов node.js/express - Проблемы с безопасностью

Question

Недавно я принял удар по настройке HTTPS на узле/экспресс-сервере. Я успешно удалось перенаправить все маршруты, которые используют протокол HTTPS, используя код ниже:

// force https redirect 
var https_redirect = function(req, res, next) { 
    if (req.secure) { 
    if(env === 'development') { 
     return res.redirect('https://localhost:3000' + req.url); 
    } else { 
     return res.redirect('https://' + req.headers.host + req.url); 
    } 
    } else { 
    return next(); 
    } 
}; 

app.get('*', function(req, res, next) { 
    https_redirect(req, res, next); 
}); 

Это, кажется, работает хорошо. Тем не менее, поскольку я не имел права на это, у меня есть несколько вопросов:

1. Это идеальный способ перенаправления с http на https?
2. Если пользователь использует маршрут http, перед перенаправлением, возможно, кто-нибудь может использовать что-то вроде sslstrip, чтобы вынюхивать информацию о сеансе.

узел: v0.8.2; экспресс: v3.05

Answer 1

function requireHTTPS(req, res, next) { 
    if (!req.secure) { 
     //FYI this should work for local development as well 
     return res.redirect('https://' + req.get('host') + req.url); 
    } 
    next(); 
} 

app.use(requireHTTPS); 
app.get('/', routeHandlerHome); 

Промежуточного подход будет работать, потому что экспресс будет запускать промежуточное программное обеспечение в добавленном порядке до того, как он запустит маршрутизатор, и в целом такой вид политики на сайте является более чистым, чем промежуточное программное обеспечение и шаблон подстановочного знака.

Что касается вопроса 2 об использовании файлов cookie для прослушивания, которые должны быть устранены путем маркировки файлов cookie как secure, когда вы их установили. Если они не были помечены как безопасные, браузер также будет передавать их с HTTP-запросами, тем самым подвергая их обнюхиванию.

Answer 2

Вы можете просто использовать функцию https_redirect (хотя немного изменено), как для автоматического перенаправления всех ваших защищенных запросов:

// force https redirect 
var https_redirect = function() { 
    return function(req, res, next) { 
    if (req.secure) { 
     if(env === 'development') { 
     return res.redirect('https://localhost:3000' + req.url); 
     } else { 
     return res.redirect('https://' + req.headers.host + req.url); 
     } 
    } else { 
     return next(); 
    } 
    }; 
}; 
app.use(https_redirect()); 

app.get('/', routeHandlerHome); 

Answer 3

Я использую этот простой код для перенаправления запросов в зависимости от того, находится ли приложение в разработке или производстве.

// force https redirect 
var forceHTTPS = function() { 
    return function(req, res, next) { 
    if (!req.secure) { 
     if (app.get('env') === 'development') { 
     return res.redirect('https://localhost:3001' + req.url); 
     } else { 
     return res.redirect('https://' + req.headers.host + req.url); 
     } 
    } else { 
     return next(); 
    } 
    }; 
};