HTTP報文頭—安全問題
Mirror王宇陽
2019-10-01
參考:MDN技術檔案;《http頭安全相關的選項_by`myh0st》
認識HTTP協議
https://www.cnblogs.com/wangyuyang1016/p/10421073.html
HTTP是一個可擴展的協議~
X-Frame-Options:
X-Frame-Options HTTP回應頭是用來給瀏覽器 指示允許一個頁面 可否在 <frame> <iframe> <embed>或者<object>中展現的標記,站點可以通過確保網站沒有被嵌入到別人的站點里面,從而避免 點擊劫持攻擊,
frame標簽:框架標簽,放置一個HTML檔案(頁面)
iframe標簽:行內框架標簽,在一個HTML頁面中顯示(插入)另一個HTML頁面
embed標簽:音頻元素標簽,插入一個音頻元素
object標簽:定義外部內容的容器標簽
-
語法:
DENY:表示該頁面不允許在frame中展示,即便在相同域名的頁面中嵌套也不可以,
SAMEORLGIN:表示該頁面可以在相同域名頁面的frame中展示
ALLOW - FROM:表示該頁面可以在指定來源的frame中展示
如果設定DENY,該頁面在任何地方的frame中都無法加載;設定SAMEORLGIN那么就可以在同域名頁面中的frame標簽中嵌套并加載該頁面
配置Web容器:
- 配置Apache,所有頁面上發送
X-Frame-Options回應頭,需要在site中配置如下:
Header always append X-Frame-Options SAMEORLGIN
- 配置Nginx,所有頁面上發送
X-Frame-Options回應頭,在http,server或者locationp配置中添加:
add_header X-Frame-Options SAMEORLGIN;
- 配置IIS,在Web.config檔案中添加:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value=https://www.cnblogs.com/wangyuyang1016/p/"SAMEORLGIN" />
*具體的技術檔案請參考:MDN_X-Frame-Options
MDN Web Docs 是一個提供 Web 技術和促進 Web 技術軟體的不斷發展的學習平臺,包括:
- Web 標準(例如:CSS、HTML 和 JavaScript)
- 開放 Web 應用開發
- Firefox 附加組件開發
X-Content-Type-Options:
X-Content-Type-Options HTTP回應首部相當于一個提示標志,服務器用來提示客戶端一定要遵循在 Content-Type 首部中對 MIME 型別 的設定,而不能對其進行修改,這就禁用了客戶端的 MIME 型別嗅探(防止用戶修改MIME上傳非法檔案型別或利用決議來執行JavaScript……)行為,換句話說,也就是意味著網站管理員確定自己的設定沒有問題,
通過X-Content-Type-OptionsHTTP回應頭可以禁止瀏覽器的型別猜測行為;
- 語法:
X-Content-Type-Options:nosniff
-
指令:(nosniff是固定的)
nosniff:(下面兩種情況會被禁止)
? 請求型別
style但是MIME型別不是text/css? 請求型別
script但是MIME型別不是application/x-javascript
Access-Control-Allow-Origin:
Access-Control-Allow-Origin 回應頭指定了該回應的資源是否被允許與給定的origin共享,跨原始資源共享(CORS)允許網站在它們之間共享內容,為了使網站之間安全的跨域獲取資源,可以通過設定Access-Control-Allow-Origin來允許指定網站來跨域獲取本地資源,
當目標頁面的
response中包含Access-Control-Allow-Origin這個header,并且value有對方的域名,瀏覽器才允許目標獲取頁面的資料,
只允許”10.10.10.10“訪問自己本地資源
Access-Control-Allow-Origin: http://10.10.10.10
-
語法
Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origin> -
指令
*對于不需具備憑證(credentials)的請求,服務器會以“
*”作為通配符,從而允許所有域都具有訪問資源的權限,<origin>指定一個可以訪問資源的URL,
X-XSS-Protection:
HTTP X-XSS-Protection 回應頭是Internet Explorer,Chrome和Safari的一個功能,當檢測到跨站腳本攻擊 (XSS)時,瀏覽器將停止加載頁面,雖然這些保護在現代瀏覽器中基本上是不必要的,當網站實施一個強大的Content-Security-Policy來禁用行內的JavaScript ('unsafe-inline')時, 他們仍然可以為尚不支持 CSP 的舊版瀏覽器的用戶提供保護,
CSP:內容安全策略
? 用于檢測和減輕用于Web站點的特定型別的攻擊,例如XSS和SQL注入;基于
Content-Security-Policy實作策略
-
語法:
X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri>0禁止XSS過濾,
1啟用XSS過濾(通常瀏覽器是默認的), 如果檢測到跨站腳本攻擊,瀏覽器將清除頁面(洗掉不安全的部分),
1;mode=block啟用XSS過濾, 如果檢測到攻擊,瀏覽器將不會清除頁面,而是阻止頁面加載,
1; report=<reporting-URI> (Chromium only)啟用XSS過濾, 如果檢測到跨站腳本攻擊,瀏覽器將清除頁面并使用CSP
report-uri指令的功能發送違規報告,
HTTP Strict Transport Security(HSTS):
HTTP Strict Transport Security(通常簡稱為HSTS)是一個安全功能,它告訴瀏覽器只能通過HTTPS訪問當前資源,而不是HTTP,
一個網站接受一個HTTP的請求,然后跳轉到HTTPS,用戶可能在開始跳轉前,通過沒有加密的方式和服務器對話,比如,用戶輸入http://foo.com或者直接foo.com,
這樣存在中間人攻擊潛在威脅,跳轉程序可能被惡意網站利用來直接接觸用戶資訊,而不是原來的加密資訊,
網站通過HTTP Strict Transport Security通知瀏覽器,這個網站禁止使用HTTP方式加載,瀏覽器應該自動把所有嘗試使用HTTP的請求自動替換為HTTPS請求,
注意: Strict-Transport-Security 在通過 HTTP 訪問時會被瀏覽器忽略; 因為攻擊者可以通過中間人攻擊的方式在連接中修改、注入或洗掉它. 只有在你的網站通過HTTPS訪問并且沒有證書錯誤時, 瀏覽器才認為你的網站支持HTTPS 然后使用 Strict-Transport-Security 的值 .
-
語法:
Strict-Transport-Security: max-age=<expire-time> Strict-Transport-Security: max-age=<expire-time>; includeSubDomains Strict-Transport-Security: max-age=<expire-time>; preload -
指令:
max-age=<expire-time>設定在瀏覽器收到這個請求后的
秒的時間內凡是訪問這個域名下的請求都使用HTTPS請求, includeSubDomains[可選]如果這個可選的引數被指定,那么說明此規則也適用于該網站的所有子域名,
preload[可選]查看 預加載 HSTS 獲得詳情,不是標準的一部分,
*HTTP Strict Transport Security(HSTS)參考檔案
Content Security Policy*
CSP是一個計算機的安全標志,主要用來防止XSS、點擊劫持、SQL注入等攻擊;CSP通過定義運行加載腳本的位置和內容防止惡意代碼的加載,
內容安全策略CSP技術檔案
-
用法:
CSP由HTTP頭的
Content-Security-Policy定義,每一個HTTP請求最多回傳一個CSP頭部,格式:Content-Security-Policy:policy
小編安利:
一個Web開發技術的優秀檔案技術網站:https://developer.mozilla.org/zh-CN/
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/10931.html
標籤:訊息安全
下一篇:途游斗地主加密協議分析及破解