视频网站建设工具,域名有关的网站,响应网站,个人社团网站怎么做了解HTTP安全标头#xff08;HTTP Security Headers#xff09;
安全标头是指定网络客户端#xff08;通常是浏览器#xff09;和应用程序服务器之间 HTTP 通信行为和安全相关细节的 HTTP 响应标头#xff0c;其目的是促进深度防御。一旦设置了这些 HTTP 响应头#xff…了解HTTP安全标头HTTP Security Headers
安全标头是指定网络客户端通常是浏览器和应用程序服务器之间 HTTP 通信行为和安全相关细节的 HTTP 响应标头其目的是促进深度防御。一旦设置了这些 HTTP 响应头就能限制现代浏览器运行到容易预防的漏洞并增加应用程序的安全层。
每个应用程序中配置以下安全标头:
strict-transport-security: max-age31536000; includeSubDomains; preload x-xss-protection: 0 x-frame-options: SAMEORIGIN x-content-type-options: nosniff referrer-policy: no-referrer-when-downgrade permissions-policy: battery(), camera(), geolocation(), gyroscope(), magnetometer(), microphone(), payment(), usb() content-security-policy: frame-ancestors ‘self’; upgrade-insecure-requests; block-all-mixed-content;
strict-transport-security
这个安全标头的全称是HTTP Strict Transport SecurityHSTS它告诉浏览器仅通过HTTPS而不是HTTP来与服务器通信。这可以防止SSL剥离攻击其中攻击者可能会尝试将用户从安全的HTTPS连接降级到不安全的HTTP连接。通过设置max-age参数你可以指定浏览器应该记住网站仅可通过HTTPS访问的时间长度。includeSubDomains指令确保所有子域也将采用这一策略而preload指令意味着你希望你的域名被包含在浏览器的HSTS预加载列表中。
x-xss-protection
这个标头旨在开启特定的浏览器端反射型XSS跨站脚本保护机制。然而由于现代浏览器已经内建了更有效的XSS保护策略x-xss-protection: 0实际上是推荐的设置因为它禁用了浏览器自带的XSS过滤器以避免其潜在不一致性和漏洞被利用。
x-frame-options
X-Frame-Options标头可以防止点击劫持攻击通过指定你的页面是否可以在其他网站的frame、iframe、embed或object中显示。SAMEORIGIN值指令浏览器只允许来自相同域的页面将当前页面作为frame展示这样可以防止恶意网站包含你的网页在一个frame中并诱导用户进行不知情的交互。
x-content-type-options
X-Content-Type-Options标头是为了阻止浏览器去尝试“嗅探”并自动识别错误声明的资源类型其值为nosniff。这主要是为了防止基于MIME的攻击确保在Content-Type头声明为某种类型时浏览器也将仅以该方式处理响应的内容。
referrer-policy
Referrer-Policy标头用来控制HTTP Referer标头的内容影响浏览器将站点的地址通过Referer标头发送给其他网站的方式。no-referrer-when-downgrade是默认的行为意味着当从HTTPS页面导航到HTTP页面时Referer标头将不会被发送但在HTTPS到HTTPS的导航中会被发送。
permissions-policy
Permissions-Policy以前称为Feature Policy允许网站作者控制哪些跨域和同域的iframe可以使用哪些特定的Web平台特性。例如禁用或启用如摄像头、地理位置等功能。在上面的示例中所有列出的特性都被设置为(), 意味着这些特性对所有iframe都被禁用。
content-security-policy
Content-Security-Policy (CSP) 是一个重要的安全标头用于减少跨站脚本XSS攻击的风险。它可以用来指定哪些动态资源可以被加载和执行。在上面的配置中frame-ancestors self;指定页面只能被同源域的页面作为frame嵌套upgrade-insecure-requests;会将所有通过HTTP加载的资源请求自动升级为HTTPS而block-all-mixed-content;阻止页面加载任何混合内容即同时存在HTTPS和HTTP资源的页面。
参考链接
MDN Web Docs - HTTP 标头Content Security Policy (CSP) 参考文档Web.dev - 提高网页安全性的 HTTP 标头OWASP - HTTP Strict Transport Security Cheat SheetW3C - Permissions Policy
