Zenn
🪖

Expressにおけるセキュリティ強化:Helmetについて👷

2024/08/14に公開
Node.js
Security
Express
helmet
tech

はじめに

Webアプリケーション開発において、セキュリティは非常に重要な要素です。攻撃者が脆弱性を悪用するリスクを最小限に抑えるためには、適切なセキュリティ対策を講じる必要があります。
Express.jsを使用したWebアプリケーションの開発において、これらのセキュリティ対策をシンプルかつ効果的に実装できるライブラリがHelmetです。
この記事では、Helmetの基本機能、インストール方法、主なセキュリティ機能について紹介します。

https://helmetjs.github.io/

https://www.npmjs.com/package/helmet

Helmetとは?

Helmetは、Node.jsのWebフレームワークであるExpress.jsアプリケーションにセキュリティ関連のHTTPヘッダーを設定するためのミドルウェアです。
これにより、アプリケーションの脆弱性を軽減し、さまざまな攻撃(クリックジャッキング、XSS、MIMEタイプのスニッフィングなど)から保護します。

Helmetのインストール
以下のコマンドでインストールできます。

npm install helmet

インストール後、アプリケーションにHelmetを追加するためのコードは非常に簡単です。Helmetをミドルウェアとして使用することで、デフォルトのセキュリティヘッダーが設定されます。

const express = require('express');
const helmet = require('helmet');

const app = express();

app.use(helmet()); // セキュリティヘッダーを設定

「app.use(helmet())」と指定すれば、デフォルトの設定がされます。
もし、それぞれのセキュリティに対して、細かい設定を行いたい場合は、別途、行うことができます。

Helmetの主な機能

Helmetは複数のセキュリティ機能を提供しており、それぞれの機能は特定の脅威に対する保護を提供します。以下は、Helmetが提供する主な機能です。

Content Security Policy(CSP)

CSPは、XSS(クロスサイトスクリプティング)攻撃を防ぐための機能です。スクリプトやスタイルシート、画像など、外部リソースのロードを制御します。

app.use(helmet.contentSecurityPolicy({
  directives: {
    defaultSrc: ["'self'"],
    scriptSrc: ["'self'", "trusted-scripts.com"]
  }
}));

X-Frame-Options(クリックジャッキング対策)

クリックジャッキングは、攻撃者が被害者を騙して意図しない操作を行わせる攻撃です。X-Frame-Optionsヘッダーは、Webページがiframeやframe内に表示されないように設定できます。

app.use(helmet.frameguard({ action: 'deny' }));

HSTS(HTTP Strict Transport Security)

HSTSは、ブラウザがHTTPを使用してWebサイトにアクセスするのを防ぎ、常にHTTPSを使用するように強制します。

app.use(helmet.hsts({
  maxAge: 31536000, // 1年
  includeSubDomains: true, // サブドメインも含む
  preload: true
}));

X-XSS-Protection

このヘッダーは、ブラウザにXSSフィルターを有効にするよう指示します。ほとんどの最新のブラウザでは既にデフォルトで有効になっていますが、Helmetを使ってさらに強化できます。

app.use(helmet.xssFilter());

MIMEタイプのスニッフィング対策

X-Content-Type-Optionsヘッダーは、ブラウザが宣言されたMIMEタイプに従うように指示し、MIMEタイプスニッフィングを防ぎます。

app.use(helmet.noSniff());

Helmetのカスタマイズ

Helmetはデフォルトで上記のすべての機能を有効にしますが、個別の設定も可能です。特定の機能だけを有効にしたり、必要に応じて設定をカスタマイズしたりすることができます。

例えば、HSTSだけを有効にし、他の機能を無効にするには次のようにします:

app.use(helmet.hsts({
  maxAge: 31536000,
  includeSubDomains: true
}));

まとめ

Helmetは、Express.jsアプリケーションにおけるセキュリティを向上させるための強力なツールです。HTTPヘッダーを通じて、さまざまな攻撃からアプリケーションを保護し、開発者がセキュリティを強化するのを助けます。特に、HSTSやX-Frame-Options、CSPなどの機能を簡単に導入できる点が魅力です。
セキュリティはWebアプリケーション開発の重要な要素です。Helmetを導入することで、アプリケーションのセキュリティを一段と強化し、安心して利用できる環境を構築しましょう。

また、HelmetはExpressだけでなく、他のライブラリやFW専用のものもあるみたいです。

https://github.com/nfl/react-helmet

https://github.com/jnields/vue-helmet

Discussion