NestJSで作成したAPIのレスポンスヘッダーに付与されるx-powered-by: Express を消す方法を紹介
NestJSでx-powered-by: Expressヘッダーを削除する方法は、セキュリティと情報漏洩の観点から非常に重要です。
デフォルトではNestJSは内部的にExpressを使用しており、そのためレスポンスヘッダーにx-powered-by: Expressが付与されます。このヘッダーは攻撃者に使用しているフレームワークの情報を与えてしまうため、非表示にするのが望ましいです。
x-powered-byヘッダーの無効化手順
NestJSでこのヘッダーを削除する方法はとてもシンプルです。
ts// main.ts
import { NestFactory } from '@nestjs/core';
import { AppModule } from './app.module';
import { NestExpressApplication } from '@nestjs/platform-express';
async function bootstrap() {
const app = await NestFactory.create<NestExpressApplication>(AppModule);
// ExpressのX-Powered-Byヘッダーを削除
app.disable('x-powered-by');
await app.listen(3000);
}
bootstrap();
この一行を追加するだけで、すべてのレスポンスからx-powered-byが削除されます。(NestFactory.createは必要です。 )
| コード | 説明 |
|---|---|
app.disable(...) | 内部で使っているExpressの設定を無効化 |
'x-powered-by' | 対象となるレスポンスヘッダーのキー |
補足:Fastifyを使用している場合
NestJSではExpressの代わりにFastifyを使うことも可能です。その場合はFastifyのオプションでヘッダーを無効化します。
tsconst app = await NestFactory.create<NestFastifyApplication>(
AppModule,
new FastifyAdapter({ logger: true })
);
app.getHttpAdapter().getInstance().removeHeader('x-powered-by');
まとめ
NestJSでセキュアなAPIを提供するには、不要な情報を外部に出さないことが第一歩です。
x-powered-by: Expressヘッダーを削除する設定はたった一行で完了し、セキュリティ向上に直結します。
プロジェクトの初期段階で対応しておくと安心です。
記事Article
もっと見る
articleReact Suspenseを使う際に避けたいアンチパターン5選と解決策について紹介
- article
React SuspenseとServer Componentsの融合:クライアントとサーバの役割分担
- article
Suspense + useTransitionで滑らかなUXを実現するやり方を紹介
- article
React Suspenseでデータフェッチ!fetchでは動かない理由と正しい書き方について紹介
- article
React 18のSuspense完全対応ガイド:並列レンダリング時代の新常識
- article
Suspense × lazyで始めるコード分割:Reactアプリの初歩的最適化