摘要:作用禁用瀏覽器的猜測行為。不允許的情況下,瀏覽器會模擬一個狀態為的響應。可能會泄漏敏感信息作用防止中間人攻擊。是網站防止攻擊者利用錯誤簽發的證書進行中間人攻擊的一種安全機制,用于預防遭入侵或者其他會造成簽發未授權證書的情況。
HTTP Strict-Transport-Security,簡稱為HSTS。
作用:允許一個HTTPS網站,要求瀏覽器總是通過HTTPS訪問它。
strict-transport-security: max-age=16070400; includeSubDomains
作用:減少/避免點擊劫持 (clickjacking) 的攻擊。
使用方式如下:
x-frame-options: SAMEORIGIN
響應頭支持三種配置:
作用:防范XSS攻擊。
PS:這個是舊屬性,基本上可以被CSP取代,但是仍可以為還沒有支持CSP的瀏覽器提供一層保護。
主流瀏覽器默認都開啟了XSS保護。
使用方式如下:
X-XSS-Protection: 1; mode=block; report=/_/http-sec-report
支持配置:
作用:禁用瀏覽器的Content-Type猜測行為。
背景:
瀏覽器通常會根據響應頭Content-Type字段來分辨資源類型。有些資源的Content-Type是錯的或者未定義。這時,瀏覽器會啟用MIME-sniffing來猜測該資源的類型,解析內容并執行。
利用這個特性,攻擊者可以讓原本應該解析為圖片的請求被解析為JavaScript。
使用方法:
X-Content-Type-Options: nosniff
作用:用于定義頁面可以加載哪些資源,減少和上報XSS的攻擊,防止數據包嗅探攻擊。
響應頭:
使用方法:
Content-Security-Policy: default-src "self"
元素也可以用于配置CSP:
指令 | 指令值示例 | 說明 |
---|---|---|
default-src | "self" cnd.a.com | 定義針對所有類型資源的默認加載策略,某類型資源如果沒有多帶帶定義策略,就使用默認的。 |
script-src | "self" js.a.com | 定義針對JavaScript的加載策略 |
style-src | "self" css.a.com | 定義針對樣式的加載策略 |
img-src | "self" img.a.com | 定義針對圖片的加載策略 |
connect-src | "self" | 針對Ajax、WebSocket等請求的加載策略。不允許的情況下,瀏覽器會模擬一個狀態為400的響應。 |
font-src | font.a.com | 針對WebFont的加載策略 |
object-src | "self" | 針對 |
media-src | media.a.com | 針對 |
frame-src | "self" | 針對frame的加載策略 |
sanbox | allow-forms | 對請求的資源啟用sandbox(類似于iframe的sandbox屬性) |
report-uri | /report-uri | 告訴瀏覽器如果請求不被策略允許,往哪個地址提交日志信息。如果想讓瀏覽器只匯報日志,不阻止任何內容,可以改用 Content-Security-Policy-Report-Only 頭。 |
指令值可以由下面內容組成:
指令值 | 指令值示例 | 說明 |
---|---|---|
img-src | 允許任何內容 | |
"none" | img-src "none" | 不允許任何內容 |
"self" | img-src "self" | 允許來自相同源的內容(相同的協議、域名和端口)。 |
data: | img-src data: | 允許data:協議(如base64編碼的圖片) |
www.a.com | img-src img.a.com | 允許加載指定域名的資源 |
.a.com | img-src .a.com | 允許加載a.com任何子域的資源 |
https://img.com | img-src https://img.com | 允許加載img.com的https資源 |
https: | img-src https: | 允許加載https資源 |
"unsafe-inline" | script-src "unsafe-inline" | 允許加載inline資源(例如常見的style屬性,onclick, inline js, inline css)。 |
"unsafe-eval" | script-src "unsafe-eval" | 允許加載動態js代碼,例如eval()。 |
作用:增加隱私保護。
可配置值:
作用:防止中間人攻擊。是HTTPS網站防止攻擊者利用CA錯誤簽發的證書進行中間人攻擊的一種安全機制,用于預防CA遭入侵或者其他會造成CA簽發未授權證書的情況。
服務器通過Public-Key-Pins(或Public-Key-Pins-Report-Onky用于監測)header向瀏覽器傳遞HTTP公鑰固定信息。
基本格式:
Public-Key-Pins: pin-sha256="base64=="; max-age=expireTime [; includeSubdomains][; report-uri="reportURI"]
字段含義:
安全掃描網站:https://securityheaders.com/
安全掃描網站 | 安全掃描網站 |
安全掃描網站 | 安全掃描網站 |
安全掃描網站 | 安全掃描網站 |
?
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/1432.html
摘要:發現無效后,會返回一個的訪問拒絕,不過可以通過配置類處理異常來定制行為。惡意用戶可能提交一個有效的文件,并使用它執行攻擊。默認是禁止進行嗅探的。 前言 xss攻擊(跨站腳本攻擊):攻擊者在頁面里插入惡意腳本代碼,用戶瀏覽該頁面時,腳本代碼就會執行,達到攻擊者的目的。原理就是:攻擊者對含有漏洞的服務器注入惡意代碼,引誘用戶瀏覽受到攻擊的服務器,并打開相關頁面,執行惡意代碼。xss攻擊方式...
摘要:為什么有跨域問題因為瀏覽器的同源策略,導致了跨域問題的出現。一同源策略什么是同源策略同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進行交互。為什么需要同源策略出于安全原因,瀏覽器限制從腳本內發起的跨源請求。 為什么有跨域問題 因為瀏覽器的同源策略,導致了跨域問題的出現。 一. 同源策略 1. 什么是同源策略 同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的...
摘要:跨域的請求出于安全性的原因,瀏覽器會限制中的跨域請求。跨源共享標準需要瀏覽器和服務端共同配合才能完成,目前瀏覽器廠商已經可以將請求部分自動完成,所以跨源資源訪問的重點還是在于服務器端。指明預請求或者跨域請求的來源。 跨域的請求 出于安全性的原因,瀏覽器會限制 Script 中的跨域請求。由于 XMLHttpRequest 遵循同源策略,所有使用 XMLHttpRequest 構造 HT...
閱讀 984·2021-11-23 09:51
閱讀 3470·2021-11-22 12:04
閱讀 2716·2021-11-11 16:55
閱讀 2921·2019-08-30 15:55
閱讀 3222·2019-08-29 14:22
閱讀 3351·2019-08-28 18:06
閱讀 1240·2019-08-26 18:36
閱讀 2126·2019-08-26 12:08