摘要:在服務(wù)器做出響應(yīng)時��,為了提高安全性�����,在響應(yīng)頭中可以使用的各種響應(yīng)頭字段����。用于防止等跨站腳本攻擊���。用于防止跨站腳本攻擊或數(shù)據(jù)注入攻擊但是,如果設(shè)定不當(dāng)����,則網(wǎng)站中的部分腳本代碼有可能失效。用于指定所有子域名同樣使用該策略�。
在 Web 服務(wù)器做出響應(yīng)時,為了提高安全性�,在 HTTP 響應(yīng)頭中可以使用的各種響應(yīng)頭字段。
X-Frame-Options
該響應(yīng)頭中用于控制是否在瀏覽器中顯示 frame 或 iframe 中指定的頁面�,主要用來防止 Clickjacking (點擊劫持)攻擊。
X-Frame-Options: SAMEORIGIN
DENY 禁止顯示 frame 內(nèi)的頁面(即使是同一網(wǎng)站內(nèi)的頁面)
SAMEORIGIN
允許在 frame 內(nèi)顯示來自同一網(wǎng)站的頁面�����,禁止顯示來自其他網(wǎng)站的頁面
ALLOW-FROM origin_uri 允許在 frame 內(nèi)顯示來自指定 uri 的頁面(當(dāng)允許顯示來自于指定網(wǎng)站的頁面時使用)
X-Content-Type-Options
如果從 script 或 stylesheet 讀入的文件的 MIME 類型與指定 MIME 類型不匹配�,不允許讀取該文件��。用于防止 XSS 等跨站腳本攻擊����。
X-Frame-Options: nosniff
X-XSS-Protection
用于啟用瀏覽器的 XSS 過濾功能��,以防止 XSS 跨站腳本攻擊�����。
X-XSS-Protection: 1; mode=block
0 禁用 XSS 過濾功能
1 啟用 XSS 過濾功能
Content-Security-Policy
用于控制當(dāng)外部資源不可信賴時不被讀取����。用于防止 XSS 跨站腳本攻擊或數(shù)據(jù)注入攻擊(但是��,如果設(shè)定不當(dāng)�,則網(wǎng)站中的部分腳本代碼有可能失效)。
之前的字段名為 X-Content-Security-Policy
Content-Security-Policy: default-src "self"
default-src "self":允許讀取來自于同源(域名+主機+端口號)的所有內(nèi)容
default-src "self"
*.example.com:允許讀取來自于指定域名及其所有子域名的所有內(nèi)容
X-Permitted-Cross-Domain-Policies
用于指定當(dāng)不能將"crossdomain.xml"文件(當(dāng)需要從別的域名中的某個文件中讀取 Flash 內(nèi)容時用于進行必要設(shè)置的策略文件)放置在網(wǎng)站根目錄等場合時采取的替代策略���。
X-Permitted-Cross-Domain-Policies: master-only
master-only 只允許使用主策略文件(/crossdomain.xml)
Strict-Transport-Security
用于通知瀏覽器只能使用 HTTPS 協(xié)議訪問網(wǎng)站�。用于將 HTTP 網(wǎng)站重定向到 HTTPS 網(wǎng)站��。
Strict-Transport-Security: max-age=31536; includeSubDomains
max-age 用于修改 STS 的默認(rèn)有效時間�����。
includeSubDomains 用于指定所有子域名同樣使用該策略����。
Access-Control-Allow-Origin等CORS相關(guān)字段
當(dāng)使用 XMLHttpRequest 從其他域名中獲取資源進行跨域通信時使用���。
Access-Control-Allow-Origin: http://www.example.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-TRICORDER
Access-Control-Max-Age: 1728
上述代碼用于設(shè)定與"http://www.example.com"進行跨域通信處理,允許使用 POST, GET, OPTIONS 方法����,在發(fā)送的請求頭中添加 X-TRICORDER 字段,通信超時時間為1,728,00秒��。
HTTP響應(yīng)頭的設(shè)定方法
在 Apache 服務(wù)器中指定響應(yīng)頭時��,需要在 httpd.conf 文件中將下述模塊設(shè)定為有效狀態(tài)�����。
LoadModule headers_module modules/mod_headers.so
然后使用下述方法設(shè)定 HTTP 響應(yīng)頭���。
Header set HeaderFieldName "value"
//例如
Header set X-XSS-Protection "1; mode=block”
本文系 OneASP 工程師王開放原創(chuàng)文章���。如今,多樣化的攻擊手段層出不窮����,傳統(tǒng)安全解決方案越來越難以應(yīng)對網(wǎng)絡(luò)安全攻擊�����。OneRASP 實時應(yīng)用自我保護技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實時保護,使其免受漏洞所累��。想閱讀更多技術(shù)文章�����,請訪問 OneAPM 官方技術(shù)博客
本文轉(zhuǎn)自 OneAPM 官方博客
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/11172.html
