Cosenseのhelmet npmを3から8に更新する

shokai.iconがhelmetを更新するpull request update helmet 3.21.2 -> 8.0.0 #7228を作成

そこにDevin.iconがhelmet 8.0.0 APIの更新 #7229を返した

超雑で作りかけのライブラリ更新プルリクをshokaiが重視している観点でDevinにレビューさせて、リリースノートの確認とアプリ側のコードの修正もやってもらうを使った

結果がけっこう違うのでCSP headerを1つずつ見ていく

app

code:3_app

HTTP/1.1 200 OK

Server: nginx/1.27.4

Date: Mon, 03 Mar 2025 02:25:45 GMT

Content-Type: text/html; charset=utf-8

Content-Length: 5607

Connection: keep-alive

X-XSS-Protection: 1; mode=block

X-Content-Type-Options: nosniff

X-Frame-Options: SAMEORIGIN

Referrer-Policy: same-origin

Content-Security-Policy: connect-src 'self' i.gyazo.com t.gyazo.com ws://localhost:4000 api.openai.com *.openai.azure.com maps.googleapis.com bedrock.ap-northeast-1.amazonaws.com bedrock-runtime.ap-northeast-1.amazonaws.com bedrock-agent.ap-northeast-1.amazonaws.com bedrock-agent-runtime.ap-northeast-1.amazonaws.com https://upload.gyazo.com https://storage.googleapis.com https://o88618.ingest.sentry.io www.google.com; default-src 'self'; font-src 'self' cdnjs.cloudflare.com fonts.gstatic.com; frame-src 'self' www.google.com www.youtube.com player.vimeo.com anchor.fm podcasters.spotify.com embed-standalone.spotify.com gyazo.com *.gyazo.com helpfeel-tweaks.helpfeel.com js.stripe.com; img-src * data: blob:; media-src *; script-src 'self' cdnjs.cloudflare.com maps.googleapis.com 'unsafe-eval' helpfeel-tweaks.helpfeel.com js.stripe.com www.google.com www.gstatic.com; style-src 'self' fonts.googleapis.com cdnjs.cloudflare.com 'unsafe-inline' helpfeel-tweaks.helpfeel.com; worker-src 'self'; form-action 'self'

X-Content-Security-Policy: connect-src 'self' i.gyazo.com t.gyazo.com ws://localhost:4000 api.openai.com *.openai.azure.com maps.googleapis.com bedrock.ap-northeast-1.amazonaws.com bedrock-runtime.ap-northeast-1.amazonaws.com bedrock-agent.ap-northeast-1.amazonaws.com bedrock-agent-runtime.ap-northeast-1.amazonaws.com https://upload.gyazo.com https://storage.googleapis.com https://o88618.ingest.sentry.io www.google.com; default-src 'self'; font-src 'self' cdnjs.cloudflare.com fonts.gstatic.com; frame-src 'self' www.google.com www.youtube.com player.vimeo.com anchor.fm podcasters.spotify.com embed-standalone.spotify.com gyazo.com *.gyazo.com helpfeel-tweaks.helpfeel.com js.stripe.com; img-src * data: blob:; media-src *; script-src 'self' cdnjs.cloudflare.com maps.googleapis.com 'unsafe-eval' helpfeel-tweaks.helpfeel.com js.stripe.com www.google.com www.gstatic.com; style-src 'self' fonts.googleapis.com cdnjs.cloudflare.com 'unsafe-inline' helpfeel-tweaks.helpfeel.com; worker-src 'self'; form-action 'self'

X-WebKit-CSP: connect-src 'self' i.gyazo.com t.gyazo.com ws://localhost:4000 api.openai.com *.openai.azure.com maps.googleapis.com bedrock.ap-northeast-1.amazonaws.com bedrock-runtime.ap-northeast-1.amazonaws.com bedrock-agent.ap-northeast-1.amazonaws.com bedrock-agent-runtime.ap-northeast-1.amazonaws.com https://upload.gyazo.com https://storage.googleapis.com https://o88618.ingest.sentry.io www.google.com; default-src 'self'; font-src 'self' cdnjs.cloudflare.com fonts.gstatic.com; frame-src 'self' www.google.com www.youtube.com player.vimeo.com anchor.fm podcasters.spotify.com embed-standalone.spotify.com gyazo.com *.gyazo.com helpfeel-tweaks.helpfeel.com js.stripe.com; img-src * data: blob:; media-src *; script-src 'self' cdnjs.cloudflare.com maps.googleapis.com 'unsafe-eval' helpfeel-tweaks.helpfeel.com js.stripe.com www.google.com www.gstatic.com; style-src 'self' fonts.googleapis.com cdnjs.cloudflare.com 'unsafe-inline' helpfeel-tweaks.helpfeel.com; worker-src 'self'; form-action 'self'

x-assets-version: assets-20250303-022434

ETag: W/"15e7-LoyLeocl3hpkrUaNTx5hqBiSjsU"

Vary: Accept-Encoding

Set-Cookie: connect.sid=s%3A-WNyqfV24LSkXh_LNvquCLV5DxcWfNr5.%2BrdYIQubPkQD0c3ITgO8QOvkiNA%2FaShc7gap08hGRGk; Path=/; Expires=Fri, 02 May 2025 02:25:45 GMT; HttpOnly

X-Content-Security-PolicyとX-WebKit-CSPとContent-Security-Policyの3つに同じ値がセットされている

code:8_app

HTTP/1.1 200 OK

Server: nginx/1.27.4

Date: Mon, 03 Mar 2025 02:22:26 GMT

Content-Type: text/html; charset=utf-8

Content-Length: 5607

Connection: keep-alive

Content-Security-Policy: connect-src 'self' i.gyazo.com t.gyazo.com ws://localhost:4000 api.openai.com *.openai.azure.com maps.googleapis.com bedrock.ap-northeast-1.amazonaws.com bedrock-runtime.ap-northeast-1.amazonaws.com bedrock-agent.ap-northeast-1.amazonaws.com bedrock-agent-runtime.ap-northeast-1.amazonaws.com https://upload.gyazo.com https://storage.googleapis.com https://o88618.ingest.sentry.io www.google.com;default-src 'self';font-src 'self' cdnjs.cloudflare.com fonts.gstatic.com;frame-src 'self' www.google.com www.youtube.com player.vimeo.com anchor.fm podcasters.spotify.com embed-standalone.spotify.com gyazo.com *.gyazo.com helpfeel-tweaks.helpfeel.com js.stripe.com;img-src * data: blob:;media-src *;script-src 'self' cdnjs.cloudflare.com maps.googleapis.com 'unsafe-eval' helpfeel-tweaks.helpfeel.com js.stripe.com www.google.com www.gstatic.com;style-src 'self' fonts.googleapis.com cdnjs.cloudflare.com 'unsafe-inline' helpfeel-tweaks.helpfeel.com;worker-src 'self';form-action 'self'

Cross-Origin-Opener-Policy: same-origin

Cross-Origin-Resource-Policy: same-origin

Origin-Agent-Cluster: ?1

Referrer-Policy: no-referrer

Strict-Transport-Security: max-age=31536000; includeSubDomains

X-Content-Type-Options: nosniff

X-DNS-Prefetch-Control: off

X-Download-Options: noopen

X-Frame-Options: SAMEORIGIN

X-Permitted-Cross-Domain-Policies: none

X-XSS-Protection: 0

x-assets-version: assets-20250303-021918

ETag: W/"15e7-3mDxek/Zn6Ie5iNN2k6Rd4gpWCE"

Vary: Accept-Encoding

Set-Cookie: connect.sid=s%3AEzgRGoQGfY-ZVuvFUDr7VTa3DzUSwctg.QJgxNcSL4uytb3Hd0TllwWuIMz%2FlZl2ccAjLygNSPHs; Path=/; Expires=Fri, 02 May 2025 02:22:26 GMT; HttpOnly

X-Content-Security-PolicyとX-WebKit-CSPがなくなって、Content-Security-Policyだけになった

x-xss-protection Headerが0になった

https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-XSS-Protection によると「使用しないでください」になっている

無効化するという意味で0にしたのかもしれないが、全くセットしない方が良いのではないか？shokai.icon

そのようですhata.icon

Referrer-Policyがno-referrerになっている

same-originに戻しても良いと思うshokai.icon

Cross-Origin-Opener-Policy header

新しく追加されたheader

same-originが指定されている。ヨシshokai.icon

Cross-Origin-Resource-Policy header

新しく追加されたheader

same-originが指定されている

外部サイトからimgを読み込めなくなると、OGPやtwitter cardが困るのではないか？shokai.icon

まあそれを検証するのは一旦デプロイする必要があるので、一旦ヨシshokai.icon

Origin-Agent-Cluster header

新しく追加されたheader

?1が指定されている

とりあえずヨシshokai.icon

Strict-Transport-Security header

新しく追加されたheader

これ無効化してなかったっけ？shokai.icon

環境変数FORCE_SSLで制御していた気がする

upgrade-insecure-requestsの方だった

下手にこのヘッダ付けてしまうと、オンプレ版でhttpでしか運用していない場合にhttpsを矯正されてしまってアクセスできなくなる

いやもういいか。さすがにshokai.icon

当時はオンプレ版のユーザーをSSLの無いイントラネットと想定していた

今はイントラネットでもSSLあるだろうさすがに

とりあえずこのままでヨシshokai.icon

X-DNS-Prefetch-Control header

新しく追加されたheader

offが指定されている

なぜoffにするんだろう？何も指定しなくていいのではないか？shokai.icon

helmetのデフォルトがoffなので、このままでヨシshokai.icon

X-Download-Options header

新しく追加されたheader

noopenが指定されている

古いIE用らしい。ヨシshokai.icon

X-Permitted-Cross-Domain-Policies header

Flash、Silverlight、Acrobat向け

noneが指定されている。ヨシshokai.icon

これまでやってた構成が使えなくなったのではないか？shokai.icon

express routerの最初の方でcommonHelmetを付ける

その先のappのrouterでappHelmetを付ける

commonHelmetの内容が反映されてない気がするshokai.icon

されてない。2つのhelmetを重ねる事ができなくなったようだ

https://www.npmjs.com/package/helmet のデフォルト値を見ると

もうデフォルトをカスタマイズする必要が無いな、という気分になった

useDefaults: trueを付けて代わりとしたい

upgrade-insecure-requestsも常に付けようshokai.icon

ローカル開発環境で出しても問題なし

localhostでは、これを出してもブラウザは無視する

こうなった

code:8_app_2

HTTP/1.1 200 OK

Server: nginx/1.27.4

Date: Mon, 03 Mar 2025 05:21:52 GMT

Content-Type: text/html; charset=utf-8

Content-Length: 5607

Connection: keep-alive

Content-Security-Policy: connect-src 'self' i.gyazo.com t.gyazo.com ws://localhost:4000 api.openai.com *.openai.azure.com maps.googleapis.com bedrock.ap-northeast-1.amazonaws.com bedrock-runtime.ap-northeast-1.amazonaws.com bedrock-agent.ap-northeast-1.amazonaws.com bedrock-agent-runtime.ap-northeast-1.amazonaws.com https://upload.gyazo.com https://storage.googleapis.com https://o88618.ingest.sentry.io www.google.com;default-src 'self';font-src 'self' cdnjs.cloudflare.com fonts.gstatic.com;frame-src 'self' www.google.com www.youtube.com player.vimeo.com anchor.fm podcasters.spotify.com embed-standalone.spotify.com gyazo.com *.gyazo.com helpfeel-tweaks.helpfeel.com js.stripe.com;img-src * data: blob:;media-src *;script-src 'self' cdnjs.cloudflare.com maps.googleapis.com 'unsafe-eval' helpfeel-tweaks.helpfeel.com js.stripe.com www.google.com www.gstatic.com;style-src 'self' fonts.googleapis.com cdnjs.cloudflare.com 'unsafe-inline' helpfeel-tweaks.helpfeel.com;worker-src 'self';form-action 'self';base-uri 'self';frame-ancestors 'self';object-src 'none';script-src-attr 'none';upgrade-insecure-requests

Cross-Origin-Opener-Policy: same-origin

Cross-Origin-Resource-Policy: same-origin

Origin-Agent-Cluster: ?1

Referrer-Policy: no-referrer

Strict-Transport-Security: max-age=31536000; includeSubDomains

X-Content-Type-Options: nosniff

X-DNS-Prefetch-Control: off

X-Download-Options: noopen

X-Frame-Options: SAMEORIGIN

X-Permitted-Cross-Domain-Policies: none

X-XSS-Protection: 0

x-assets-version: assets-20250303-050445

ETag: W/"15e7-neeOv8VPfWkYjpXbPhCHa0zqpVc"

Vary: Accept-Encoding

Set-Cookie: connect.sid=s%3AC8fBwD1qkozHJfn3mAmlHwrji7X9JhDQ.jECE9EzEAwTrYPr2k9aETh5JMgPpWuvc%2BQTjAkeFK0U; Path=/; Expires=Fri, 02 May 2025 05:21:52 GMT; HttpOnly

確認項目

contact form

reCAPTCHA

app

Google map

YouTube埋め込み

GCSアップロード

Gyazoアップロード

Gyazo埋め込み

静止画、動画

最終的にこうなって、リリースしたshokai.icon (2025/3/3 14:58)

done.icon update helmet 3.21.2 -> 8.0.0 #7228

ライブラリそのものの説明はDevin.iconにまかせつつ、変更内容にフォーカスしてプルリク概要欄を書き直した

Devin.iconが作ったhelmet 8.0.0 APIの更新 #7229とはさらに構成が変えて

helmetを重ねる事をやめたが

Devin.iconの実装があったからこそ短時間でたどり着けたと思う

https://scrapbox.io/files/67f2c7bbb651ce3738dd16ee.png

ところで、どこでhelmetを重ねられなくなったんだろう？

helmetを3から8に更新したら複数のhelmetを重ねられなくなった