摘要:本文簡單介紹與安全相同的響應頭部,內容整理自���。參數(shù)參數(shù)說明指定的時間秒范圍內瀏覽器總是使用來訪問可選參數(shù)�,是否同時應用于當前域名的所有子域名示例是一種防止網(wǎng)站被攻擊者使用錯誤發(fā)布或其他欺詐性證書冒充安全證書的安全機制�����。
本文簡單介紹與安全相同的 HTTP 響應頭部���,內容整理自《OWASP Secure Headers Project》。
HTTP Strict Transport Security
HTTP Strict Transport Security(HSTS) 是一種網(wǎng)絡安全策略機制��,用于防范降級攻擊(Downgrade Attack)和 Cookie 劫持(Cookie Hijacking)。它允許服務器告訴瀏覽器(或其他代理)只能使用 HTTPS 訪問服務����,禁止使用 HTTP。實現(xiàn)了 HSTS 策略的服務器通過 HTTPS 鏈接的 Strict-Transport-Security 頭部告訴客戶端其策略���,HTTP 中的 HSTS 頭部會被忽略�����。
參數(shù):
| 參數(shù) |
說明 |
| max-age=SECONDS |
指定的時間(秒)范圍內瀏覽器總是使用 HTTPS 來訪問 |
| includeSubDomains |
可選參數(shù)���,是否同時應用于當前域名的所有子域名 |
示例:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Public Key Pinning Extension for HTTP
HTTP Public Key Pinning (HPKP)是一種防止 HTTPS 網(wǎng)站被攻擊者使用錯誤發(fā)布或其他欺詐性證書冒充安全證書的安全機制。例如�,攻擊者可能會欺騙證書頒發(fā)機構,然后為錯誤的為其頒發(fā)證書��。
HTTPS 服務器會通過頭部提供一個公鑰哈希列表�,在后續(xù)的請求中,客戶端期望服務端在證書鏈中使用其中一個或多個公鑰哈希�。想要安全的部署 HPKP,要求具有成熟的部署和管理機制�,否則主機可能會因為固定到一組無效的公鑰哈希而使得服務不可用。一旦成功部署�����,能夠大大減小中間人攻擊和其他虛假認證問題。
參數(shù):
| 參數(shù) |
說明 |
| pin-sha256="" |
Base64 編碼的公鑰信息指紋��,可以指定多個不同的公鑰 |
| max-age=SECONDS |
指定的時間(秒)范圍內總是使用其中一個固定的 key |
| includeSubDomains |
可選參數(shù)��,是否同時應用于所有子域名 |
| report-uri="" |
可選參數(shù)�,pin 校驗失敗后的上報地址 |
示例:
Public-Key-Pins: pin-sha256="d6qzRu9zOECb90Uez27xWltNsj0e1Md7GkYYkVoZWmM="; pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g="; report-uri="http://example.com/pkp-report"; max-age=10000; includeSubDomains
X-Frame-Options
X-Frame-Options 響應頭部用于保護網(wǎng)絡應用遭受點擊劫持(Clickjacking)攻擊。它用來控制網(wǎng)站是否顯示其它域的
