資訊專欄INFORMATION COLUMN
摘要:本文簡單介紹與安全相同的響應頭部,內容整理自。參數參數說明指定的時間秒范圍內瀏覽器總是使用來訪問可選參數,是否同時應用于當前域名的所有子域名示例是一種防止網站被攻擊者使用錯誤發布或其他欺詐性證書冒充安全證書的安全機制。
本文簡單介紹與安全相同的 HTTP 響應頭部,內容整理自《OWASP Secure Headers Project》。
HTTP Strict Transport SecurityHTTP Strict Transport Security(HSTS) 是一種網絡安全策略機制,用于防范降級攻擊(Downgrade Attack)和 Cookie 劫持(Cookie Hijacking)。它允許服務器告訴瀏覽器(或其他代理)只能使用 HTTPS 訪問服務,禁止使用 HTTP。實現了 HSTS 策略的服務器通過 HTTPS 鏈接的 Strict-Transport-Security 頭部告訴客戶端其策略,HTTP 中的 HSTS 頭部會被忽略。
參數:
| 參數 | 說明 |
|---|---|
| max-age=SECONDS | 指定的時間(秒)范圍內瀏覽器總是使用 HTTPS 來訪問 |
| includeSubDomains | 可選參數,是否同時應用于當前域名的所有子域名 |
示例:
Strict-Transport-Security: max-age=31536000; includeSubDomainsPublic Key Pinning Extension for HTTP
HTTP Public Key Pinning (HPKP)是一種防止 HTTPS 網站被攻擊者使用錯誤發布或其他欺詐性證書冒充安全證書的安全機制。例如,攻擊者可能會欺騙證書頒發機構,然后為錯誤的為其頒發證書。
HTTPS 服務器會通過頭部提供一個公鑰哈希列表,在后續的請求中,客戶端期望服務端在證書鏈中使用其中一個或多個公鑰哈希。想要安全的部署 HPKP,要求具有成熟的部署和管理機制,否則主機可能會因為固定到一組無效的公鑰哈希而使得服務不可用。一旦成功部署,能夠大大減小中間人攻擊和其他虛假認證問題。
參數:
| 參數 | 說明 |
|---|---|
| pin-sha256=" |
Base64 編碼的公鑰信息指紋,可以指定多個不同的公鑰 |
| max-age=SECONDS | 指定的時間(秒)范圍內總是使用其中一個固定的 key |
| includeSubDomains | 可選參數,是否同時應用于所有子域名 |
| report-uri=" |
可選參數,pin 校驗失敗后的上報地址 |
示例:
Public-Key-Pins: pin-sha256="d6qzRu9zOECb90Uez27xWltNsj0e1Md7GkYYkVoZWmM="; pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g="; report-uri="http://example.com/pkp-report"; max-age=10000; includeSubDomainsX-Frame-Options
X-Frame-Options 響應頭部用于保護網絡應用遭受點擊劫持(Clickjacking)攻擊。它用來控制網站是否顯示其它域的