Добавить заголовки в SockJS-соединение?

Question

Я выполнял проверки безопасности своего приложения Meteor с помощью ZAP (средство автоматической проверки безопасности). Я смог решить множество проблем с безопасностью, но я по-прежнему получаю предупреждения от части приложения. Например, произошла ошибка:

Web Browser XSS Protection is not enabled, or is disabled by the configuration of the 'X-XSS-Protection' HTTP response header on the web server

Эти предупреждения относятся к заголовкам HTTP.

Следующий код решает вышеуказанные проблемы безопасности заголовка на всех нормальных страницах:

WebApp.rawConnectHandlers.use(function(req, res, next) { 
    res.setHeader('X-XSS-Protection', '1; mode=block'); 
    next(); 
}); 

Но все/sockjs/Информация Cb = XXX вызовы (например,/sockjs/Информация центибар = 4yiv7ncev4.?) Некоторые? заголовков, добавленных с помощью res.setHeader(), не включены. Если я правильно понимаю, это вызовы между сервером и клиентом, такие как подписки или вызовы методам Метеор, а используемая структура - SockJS.

Есть ли способ включить дополнительные заголовки в эти подключения к Интернету?

Большое вам спасибо за помощь!

Answer 1

Попробуйте это:

const oldHttpServerListeners = WebApp.httpServer.listeners('request').slice(0); 
WebApp.httpServer.removeAllListeners('request'); 

const newListener = function(request, response) { 
    const args = arguments; 

    response.setHeader('X-XSS-Protection', '1; mode=block'); 

    _.each(oldHttpServerListeners, function(oldListener) { 
    oldListener.apply(WebApp.httpServer, args); 
    }); 

}; 

WebApp.httpServer.addListener('request', newListener);