摘要:在服務(wù)器做出響應(yīng)時(shí)�����,為了提高安全性�,在響應(yīng)頭中可以使用的各種響應(yīng)頭字段。用于防止等跨站腳本攻擊���。用于防止跨站腳本攻擊或數(shù)據(jù)注入攻擊但是�����,如果設(shè)定不當(dāng)�,則網(wǎng)站中的部分腳本代碼有可能失效。用于指定所有子域名同樣使用該策略��。
在 Web 服務(wù)器做出響應(yīng)時(shí)����,為了提高安全性����,在 HTTP 響應(yīng)頭中可以使用的各種響應(yīng)頭字段。
X-Frame-Options
該響應(yīng)頭中用于控制是否在瀏覽器中顯示 frame 或 iframe 中指定的頁(yè)面���,主要用來(lái)防止 Clickjacking (點(diǎn)擊劫持)攻擊����。
X-Frame-Options: SAMEORIGIN
DENY 禁止顯示 frame 內(nèi)的頁(yè)面(即使是同一網(wǎng)站內(nèi)的頁(yè)面)
SAMEORIGIN
允許在 frame 內(nèi)顯示來(lái)自同一網(wǎng)站的頁(yè)面�,禁止顯示來(lái)自其他網(wǎng)站的頁(yè)面
ALLOW-FROM origin_uri 允許在 frame 內(nèi)顯示來(lái)自指定 uri 的頁(yè)面(當(dāng)允許顯示來(lái)自于指定網(wǎng)站的頁(yè)面時(shí)使用)
X-Content-Type-Options
如果從 script 或 stylesheet 讀入的文件的 MIME 類(lèi)型與指定 MIME 類(lèi)型不匹配,不允許讀取該文件��。用于防止 XSS 等跨站腳本攻擊�。
X-Frame-Options: nosniff
X-XSS-Protection
用于啟用瀏覽器的 XSS 過(guò)濾功能,以防止 XSS 跨站腳本攻擊����。
X-XSS-Protection: 1; mode=block
0 禁用 XSS 過(guò)濾功能
1 啟用 XSS 過(guò)濾功能
Content-Security-Policy
用于控制當(dāng)外部資源不可信賴時(shí)不被讀取��。用于防止 XSS 跨站腳本攻擊或數(shù)據(jù)注入攻擊(但是��,如果設(shè)定不當(dāng)����,則網(wǎng)站中的部分腳本代碼有可能失效)�。
之前的字段名為 X-Content-Security-Policy
Content-Security-Policy: default-src "self"
default-src "self":允許讀取來(lái)自于同源(域名+主機(jī)+端口號(hào))的所有內(nèi)容
default-src "self"
*.example.com:允許讀取來(lái)自于指定域名及其所有子域名的所有內(nèi)容
X-Permitted-Cross-Domain-Policies
用于指定當(dāng)不能將"crossdomain.xml"文件(當(dāng)需要從別的域名中的某個(gè)文件中讀取 Flash 內(nèi)容時(shí)用于進(jìn)行必要設(shè)置的策略文件)放置在網(wǎng)站根目錄等場(chǎng)合時(shí)采取的替代策略。
X-Permitted-Cross-Domain-Policies: master-only
master-only 只允許使用主策略文件(/crossdomain.xml)
Strict-Transport-Security
用于通知瀏覽器只能使用 HTTPS 協(xié)議訪問(wèn)網(wǎng)站����。用于將 HTTP 網(wǎng)站重定向到 HTTPS 網(wǎng)站。
Strict-Transport-Security: max-age=31536; includeSubDomains
max-age 用于修改 STS 的默認(rèn)有效時(shí)間�����。
includeSubDomains 用于指定所有子域名同樣使用該策略�。
Access-Control-Allow-Origin等CORS相關(guān)字段
當(dāng)使用 XMLHttpRequest 從其他域名中獲取資源進(jìn)行跨域通信時(shí)使用。
Access-Control-Allow-Origin: http://www.example.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-TRICORDER
Access-Control-Max-Age: 1728
上述代碼用于設(shè)定與"http://www.example.com"進(jìn)行跨域通信處理��,允許使用 POST, GET, OPTIONS 方法��,在發(fā)送的請(qǐng)求頭中添加 X-TRICORDER 字段�����,通信超時(shí)時(shí)間為1,728,00秒。
HTTP響應(yīng)頭的設(shè)定方法
在 Apache 服務(wù)器中指定響應(yīng)頭時(shí)�,需要在 httpd.conf 文件中將下述模塊設(shè)定為有效狀態(tài)。
LoadModule headers_module modules/mod_headers.so
然后使用下述方法設(shè)定 HTTP 響應(yīng)頭�。
Header set HeaderFieldName "value"
//例如
Header set X-XSS-Protection "1; mode=block”
本文系 OneASP 工程師王開(kāi)放原創(chuàng)文章。如今�,多樣化的攻擊手段層出不窮,傳統(tǒng)安全解決方案越來(lái)越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊��。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)�����,使其免受漏洞所累���。想閱讀更多技術(shù)文章,請(qǐng)?jiān)L問(wèn) OneAPM 官方技術(shù)博客
本文轉(zhuǎn)自 OneAPM 官方博客
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11172.html
