0

単純なサーバーにはexpress/nodejsを使用しています。

どこにでも安全なhttpsは必要ありませんが、アップロードフォームの投稿とそれに返される電話への応答を保護したいと思います。

これまで、express.jsを使用してhttp上に標準のnodejsサーバーをセットアップしました。

app.post('/ upload' ...)があります

私はherokuにデプロイされているので、テストしているアプリを変更して、フォームデータをhttps://myapp.herokuapp.com/uploadに投稿しまし

httpsで投稿していますか?そして、応答はhttps経由で行われますか?

または、それを具体的に処理するために、何らかの方法でExpressサーバーを再構成する必要がありますか?

これらのアップロード/応答は唯一の安全な部分であり、ユーザーには表示されません(電話アプリによって実行されます)-したがって、上記のピギーバックソリューションが問題ない場合は、ドメイン/サブドメイン全体に対して完全なhttpsslエンドポイント構成を行う必要はありません。

4

1 に答える 1

7

Herokuでは、SSLはルーティングレイヤーで終了し、X-Forwarded-Proto: https ヘッダーがリクエストに追加されるため、アプリはリクエストがSSL経由で着信したことを知ることができます。つまり、アプリの観点からは、リクエストはプレーンHTTPであり、特別なことを行う必要はありませんがX-Forwarded-Proto: https、リクエストが安全に行われたことを確認したい場合は、いつでもヘッダーを確認できます。要求がSSLを介して行われた場合、それらは両方とも同じ接続の一部であるため、応答もSSLを介して行われます。

于 2013-03-05T04:30:15.900 に答える