(文章来源:Gworg)
HTTP安全标头是网站安全的基本组成部分。部署这些安全标头有助于保护您的网站免受XSS,代码注入,clickjacking的侵扰。当用户通过浏览器访问站点时,服务器使用HTTP响应头进行响应。这些header告诉浏览器如何与站点通信。它们包含了网站的metadata。您可以利用这些信息概括整个通信并提高安全性。
假设您有一个名为example.com的网站,并且您已安装SSL / TLS证书并从HTTP迁移到HTTPS。但工作还没有结束。很多人在将网站迁移到HTTPS后都会忘了杜绝网站仍能通过HTTP访问的情况。正因如此,HSTS被引入。如果站点配备了HTTPS,则服务器会强制浏览器通过安全的HTTPS进行通信。 如此,便完全消除了HTTP连接的可能性。
Strict-Transport-Security: max-age=
内容安全策略可防止跨站点脚本和其他代码注入攻击。 虽然它不能完全消除它们的可能性,但它确实可以将损害降至最低。 大多数主流浏览器都支持CSP,所以兼容性不成问题。跨站点脚本保护(X-XSS),顾名思义,X-XSS头部可以防止跨站脚本攻击。 Chrome,IE和Safari默认启用XSS过滤器。 此筛选器在检测到跨站点脚本攻击时不会让页面加载。
X-XSS-ProtecTIon:0X-XSS-ProtecTIon:1X-XSS-ProtecTIon:1; mode=blockX-XSS-ProtecTIon:1; report=
X-Frame-选项,在Orkut世代,有一种名为点击劫持(Clickjacking)的骗术十分流行。攻击者让用户点击到肉眼看不见的内容。比方说,用户以为自己在访问某视频网站,想把遮挡物广告关闭,但当你自以为点的是关闭键时会有其他内容在后台运行,并在整个过程中泄露用户的隐私信息。
X-Frame-选项有助于防范这些类型的攻击。 这是通过禁用网站上存在的iframe来完成的。 换句话说,它不会让别人嵌入您的内容。
X-Frame-Options: DENYX-Frame-Options: SAMEORIGINX-Frame-Options: ALLOW-FROM https://example.com/X-Content-Type选项,X-Content-Type标头提供了针对MIME嗅探的对策。 它指示浏览器遵循标题中指示的MIME类型。 作为发现资产文件格式的功能,MIME嗅探也可用于执行跨站点脚本攻击。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)