摘要:作用禁用浏览器的猜测行为。不允许的情况下,浏览器会模拟一个状态为的响应。可能会泄漏敏感信息作用防止中间人攻击。是网站防止攻击者利用错误签发的证书进行中间人攻击的一种安全机制,用于预防遭入侵或者其他会造成签发未授权证书的情况。
HTTP Strict-Transport-Security,简称为HSTS。
作用:允许一个HTTPS网站,要求浏览器总是通过HTTPS访问它。
strict-transport-security: max-age=16070400; includeSubDomains
作用:减少/避免点击劫持 (clickjacking) 的攻击。
使用方式如下:
x-frame-options: SAMEORIGIN
响应头支持三种配置:
作用:防范XSS攻击。
PS:这个是旧属性,基本上可以被CSP取代,但是仍可以为还没有支持CSP的浏览器提供一层保护。
主流浏览器默认都开启了XSS保护。
使用方式如下:
X-XSS-Protection: 1; mode=block; report=/_/http-sec-report
支持配置:
作用:禁用浏览器的Content-Type猜测行为。
背景:
浏览器通常会根据响应头Content-Type字段来分辨资源类型。有些资源的Content-Type是错的或者未定义。这时,浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。
利用这个特性,攻击者可以让原本应该解析为图片的请求被解析为JavaScript。
使用方法:
X-Content-Type-Options: nosniff
作用:用于定义页面可以加载哪些资源,减少和上报XSS的攻击,防止数据包嗅探攻击。
响应头:
使用方法:
Content-Security-Policy: default-src "self"
元素也可以用于配置CSP:
指令 | 指令值示例 | 说明 |
---|---|---|
default-src | "self" cnd.a.com | 定义针对所有类型资源的默认加载策略,某类型资源如果没有多带带定义策略,就使用默认的。 |
script-src | "self" js.a.com | 定义针对JavaScript的加载策略 |
style-src | "self" css.a.com | 定义针对样式的加载策略 |
img-src | "self" img.a.com | 定义针对图片的加载策略 |
connect-src | "self" | 针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。 |
font-src | font.a.com | 针对WebFont的加载策略 |
object-src | "self" | 针对 |
media-src | media.a.com | 针对 |
frame-src | "self" | 针对frame的加载策略 |
sanbox | allow-forms | 对请求的资源启用sandbox(类似于iframe的sandbox属性) |
report-uri | /report-uri | 告诉浏览器如果请求不被策略允许,往哪个地址提交日志信息。如果想让浏览器只汇报日志,不阻止任何内容,可以改用 Content-Security-Policy-Report-Only 头。 |
指令值可以由下面内容组成:
指令值 | 指令值示例 | 说明 |
---|---|---|
img-src | 允许任何内容 | |
"none" | img-src "none" | 不允许任何内容 |
"self" | img-src "self" | 允许来自相同源的内容(相同的协议、域名和端口)。 |
data: | img-src data: | 允许data:协议(如base64编码的图片) |
www.a.com | img-src img.a.com | 允许加载指定域名的资源 |
.a.com | img-src .a.com | 允许加载a.com任何子域的资源 |
https://img.com | img-src https://img.com | 允许加载img.com的https资源 |
https: | img-src https: | 允许加载https资源 |
"unsafe-inline" | script-src "unsafe-inline" | 允许加载inline资源(例如常见的style属性,onclick, inline js, inline css)。 |
"unsafe-eval" | script-src "unsafe-eval" | 允许加载动态js代码,例如eval()。 |
作用:增加隐私保护。
可配置值:
作用:防止中间人攻击。是HTTPS网站防止攻击者利用CA错误签发的证书进行中间人攻击的一种安全机制,用于预防CA遭入侵或者其他会造成CA签发未授权证书的情况。
服务器通过Public-Key-Pins(或Public-Key-Pins-Report-Onky用于监测)header向浏览器传递HTTP公钥固定信息。
基本格式:
Public-Key-Pins: pin-sha256="base64=="; max-age=expireTime [; includeSubdomains][; report-uri="reportURI"]
字段含义:
安全扫描网站:https://securityheaders.com/
安全扫描网站 | 安全扫描网站 |
安全扫描网站 | 安全扫描网站 |
安全扫描网站 | 安全扫描网站 |
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/1432.html
摘要:发现无效后,会返回一个的访问拒绝,不过可以通过配置类处理异常来定制行为。恶意用户可能提交一个有效的文件,并使用它执行攻击。默认是禁止进行嗅探的。 前言 xss攻击(跨站脚本攻击):攻击者在页面里插入恶意脚本代码,用户浏览该页面时,脚本代码就会执行,达到攻击者的目的。原理就是:攻击者对含有漏洞的服务器注入恶意代码,引诱用户浏览受到攻击的服务器,并打开相关页面,执行恶意代码。xss攻击方式...
摘要:为什么有跨域问题因为浏览器的同源策略,导致了跨域问题的出现。一同源策略什么是同源策略同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。为什么需要同源策略出于安全原因,浏览器限制从脚本内发起的跨源请求。 为什么有跨域问题 因为浏览器的同源策略,导致了跨域问题的出现。 一. 同源策略 1. 什么是同源策略 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的...
摘要:跨域的请求出于安全性的原因,浏览器会限制中的跨域请求。跨源共享标准需要浏览器和服务端共同配合才能完成,目前浏览器厂商已经可以将请求部分自动完成,所以跨源资源访问的重点还是在于服务器端。指明预请求或者跨域请求的来源。 跨域的请求 出于安全性的原因,浏览器会限制 Script 中的跨域请求。由于 XMLHttpRequest 遵循同源策略,所有使用 XMLHttpRequest 构造 HT...
阅读 986·2021-11-23 09:51
阅读 3473·2021-11-22 12:04
阅读 2717·2021-11-11 16:55
阅读 2926·2019-08-30 15:55
阅读 3226·2019-08-29 14:22
阅读 3353·2019-08-28 18:06
阅读 1242·2019-08-26 18:36
阅读 2127·2019-08-26 12:08