資訊專欄INFORMATION COLUMN
摘要:在服務器做出響應時,為了提高安全性,在響應頭中可以使用的各種響應頭字段。用于防止等跨站腳本攻擊。用于防止跨站腳本攻擊或數據注入攻擊但是,如果設定不當,則網站中的部分腳本代碼有可能失效。用于指定所有子域名同樣使用該策略。
在 Web 服務器做出響應時,為了提高安全性,在 HTTP 響應頭中可以使用的各種響應頭字段。
X-Frame-Options該響應頭中用于控制是否在瀏覽器中顯示 frame 或 iframe 中指定的頁面,主要用來防止 Clickjacking (點擊劫持)攻擊。
X-Frame-Options: SAMEORIGIN
DENY 禁止顯示 frame 內的頁面(即使是同一網站內的頁面)
SAMEORIGIN
允許在 frame 內顯示來自同一網站的頁面,禁止顯示來自其他網站的頁面
ALLOW-FROM origin_uri 允許在 frame 內顯示來自指定 uri 的頁面(當允許顯示來自于指定網站的頁面時使用)
X-Content-Type-Options如果從 script 或 stylesheet 讀入的文件的 MIME 類型與指定 MIME 類型不匹配,不允許讀取該文件。用于防止 XSS 等跨站腳本攻擊。
X-Frame-Options: nosniffX-XSS-Protection
用于啟用瀏覽器的 XSS 過濾功能,以防止 XSS 跨站腳本攻擊。
X-XSS-Protection: 1; mode=block
0 禁用 XSS 過濾功能
1 啟用 XSS 過濾功能
Content-Security-Policy用于控制當外部資源不可信賴時不被讀取。用于防止 XSS 跨站腳本攻擊或數據注入攻擊(但是,如果設定不當,則網站中的部分腳本代碼有可能失效)。
之前的字段名為 X-Content-Security-Policy
Content-Security-Policy: default-src "self"
default-src "self":允許讀取來自于同源(域名+主機+端口號)的所有內容
default-src "self"
*.example.com:允許讀取來自于指定域名及其所有子域名的所有內容
X-Permitted-Cross-Domain-Policies用于指定當不能將"crossdomain.xml"文件(當需要從別的域名中的某個文件中讀取 Flash 內容時用于進行必要設置的策略文件)放置在網站根目錄等場合時采取的替代策略。
X-Permitted-Cross-Domain-Policies: master-only
master-only 只允許使用主策略文件(/crossdomain.xml)
Strict-Transport-Security用于通知瀏覽器只能使用 HTTPS 協議訪問網站。用于將 HTTP 網站重定向到 HTTPS 網站。
Strict-Transport-Security: max-age=31536; includeSubDomains
max-age 用于修改 STS 的默認有效時間。
includeSubDomains 用于指定所有子域名同樣使用該策略。
Access-Control-Allow-Origin等CORS相關字段當使用 XMLHttpRequest 從其他域名中獲取資源進行跨域通信時使用。
Access-Control-Allow-Origin: http://www.example.com Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-TRICORDER Access-Control-Max-Age: 1728
上述代碼用于設定與"http://www.example.com"進行跨域通信處理,允許使用 POST, GET, OPTIONS 方法,在發送的請求頭中添加 X-TRICORDER 字段,通信超時時間為1,728,00秒。
HTTP響應頭的設定方法在 Apache 服務器中指定響應頭時,需要在 httpd.conf 文件中將下述模塊設定為有效狀態。
LoadModule headers_module modules/mod_headers.so
然后使用下述方法設定 HTTP 響應頭。
Header set HeaderFieldName "value" //例如 Header set X-XSS-Protection "1; mode=block”
本文系 OneASP 工程師王開放原創文章。如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,可以為軟件產品提供精準的實時保護,使其免受漏洞所累。想閱讀更多技術文章,請訪問 OneAPM 官方技術博客
本文轉自 OneAPM 官方博客
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11172.html
摘要:一般由三部組成協議或稱為服務方式存有該資源的主機地址有時也包括端口號主機資源的具體地址。上面的和都是的示例。服務器應答客戶機向服務器發出請求后,服務器會客戶機回送應答,,應答的第一部分是協議的版本號和應答狀態碼。 HTTP常見面試題 Http與Https的區別: Http與Https的區別: HTTP 的URL 以http:// 開頭,而HTTPS 的URL 以https:// 開頭...
閱讀 2299·2023-04-25 14:22
閱讀 3740·2021-11-15 18:12
閱讀 1297·2019-08-30 15:44
閱讀 3220·2019-08-29 15:37
閱讀 647·2019-08-29 13:49
閱讀 3462·2019-08-26 12:11
閱讀 877·2019-08-23 18:28
閱讀 1586·2019-08-23 14:55
