自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

網(wǎng)站必備的五大HTTP安全標(biāo)頭

作者:IDC資訊
運(yùn)維 服務(wù)器運(yùn)維 應(yīng)用安全
在超文本傳輸協(xié)議( Hypertext Transfer Protocol ,HTTP)的請(qǐng)求和響應(yīng)消息中,協(xié)議頭部分的那些組件。HTTP安全標(biāo)頭實(shí)施后,可防止XSS,代碼注入,clickjacking等。

HTTP安全標(biāo)頭是網(wǎng)站安全的基本組成部分。在超文本傳輸協(xié)議( Hypertext Transfer Protocol ,HTTP)的請(qǐng)求和響應(yīng)消息中,協(xié)議頭部分的那些組件。HTTP安全標(biāo)頭實(shí)施后,可防止XSS,代碼注入,clickjacking等。

當(dāng)用戶通過客戶端瀏覽器訪問站點(diǎn)時(shí),服務(wù)器使用HTTP響應(yīng)頭進(jìn)行響應(yīng)。

站長(zhǎng)可使用這些標(biāo)頭進(jìn)行通信并提高Web安全性。下面介紹的五個(gè)安全頭,它們將為您的網(wǎng)站提供一些急需的保護(hù)。

1、HTTP嚴(yán)格傳輸安全(HSTS)

如一個(gè)名為idcbest.com的網(wǎng)站,并且已安裝SSL / TLS證書,從HTTP遷移到HTTPS。但很多HTTPS網(wǎng)站,也可以通過HTTP來訪問。開發(fā)人員的失誤或者用戶主動(dòng)輸入地址,都有可能導(dǎo)致用戶以HTTP訪問網(wǎng)站,降低了安全性。

此時(shí),可通過HSTS解決問題,讓瀏覽器默認(rèn)HTTPS跳轉(zhuǎn),省去一次HTTP請(qǐng)求。另外,瀏覽器本地替換可以保證只會(huì)發(fā)送HTTPS請(qǐng)求,避免被劫持。

[[232790]]

要使用HSTS,只需要在HTTPS網(wǎng)站響應(yīng)頭中,加入代碼

  1. Strict-Transport-Security:max-age = <expire-time

  1. Strict-Transport-Security:max-age = <expire-time>; includeSubDomains 

  1. Strict-Transport-Security:max-age = <expire-time>; preload 

2、內(nèi)容安全策略(CSP)

HTTP內(nèi)容安全策略響應(yīng)標(biāo)頭通過賦予網(wǎng)站管理員權(quán)限,管理網(wǎng)站允許加載的內(nèi)容。換句話說,用戶可以將網(wǎng)站的內(nèi)容來源列入白名單。

內(nèi)容安全策略可防止跨站點(diǎn)腳本和其他代碼注入攻擊。雖然不能完全消除攻擊的可能性,但它確實(shí)可以將損害降至最低。目前大多數(shù)主流瀏覽器都支持CSP,因此兼容性不成問題。

代碼:

  1. Content-Security-Policy: <policy-directive>; <policy-directive> 

3、跨站點(diǎn)腳本保護(hù)(X-XSS)

X-XSS頭部可以防止跨站腳本攻擊。Chrome,IE和Safari默認(rèn)啟用XSS過濾器。此篩選器在檢測(cè)到跨站點(diǎn)腳本攻擊時(shí)不會(huì)讓頁(yè)面加載。

代碼:

  1. X-XSS-Protection: 0  
  2. X-XSS-Protection: 1  
  3. X-XSS-Protection: 1; mode=block  
  4. X-XSS-Protection: 1; report=<reporting-uri> 

4、X-Frame-Options

在Orkut時(shí)代,一種名為“點(diǎn)擊劫持”的欺騙技術(shù)非常流行。在這種技術(shù)中,攻擊者愚弄用戶點(diǎn)擊不在那里的東西。X-Frame-Options,是為了減少點(diǎn)擊劫持(Clickjacking)而引入的一個(gè)響應(yīng)頭。這是通過禁用網(wǎng)站上存在的iframe來完成的。換句話說,它不會(huì)讓別人嵌入網(wǎng)站的內(nèi)容。

句法:

  1. X-Frame-Options:DENY 
  2. X-Frame-Options:SAMEORIGIN 
  3. X-Frame-Options:ALLOW-FROM https://idcbest.com/ 

5、X-Content-Type-Options

互聯(lián)網(wǎng)上的資源有各種類型,通常瀏覽器會(huì)根據(jù)響應(yīng)頭的Content-Type字段來分辨它們的類型。例如:”text/html”代表html文檔,”image/png”是PNG圖片,”text/css”是CSS樣式文檔。然而,有些資源的Content-Type是錯(cuò)的或者未定義。這時(shí),某些瀏覽器會(huì)啟用MIME-sniffing來猜測(cè)該資源的類型,解析內(nèi)容并執(zhí)行。

X-Content-Type標(biāo)頭提供了針對(duì)MIME嗅探的對(duì)策。它指示瀏覽器遵循標(biāo)題中指示的MIME類型。作為發(fā)現(xiàn)資產(chǎn)文件格式的功能,MIME嗅探也可用于執(zhí)行跨站點(diǎn)腳本攻擊。

代碼:

  1. X-Content-Type-Options:nosniff  
責(zé)任編輯:武曉燕 來源: 搜狐
網(wǎng)站必備安全標(biāo)頭
相關(guān)推薦

2021-03-17 08:36:28

XDR終端安全網(wǎng)絡(luò)安全

2013-08-01 10:38:22

2018-10-26 08:59:17

Linux開發(fā)工具

2023-09-04 12:04:09

CISO優(yōu)化企業(yè)

2013-09-13 14:43:50

2021-09-03 14:00:52

端點(diǎn)安全漏洞網(wǎng)絡(luò)安全

2013-11-28 09:23:33

監(jiān)控系統(tǒng)系統(tǒng)部署監(jiān)控

2011-04-21 11:39:13

2011-08-03 11:03:55

IT安全

2013-12-25 09:13:54

2013-12-26 09:27:54

2020-08-16 08:25:46

物聯(lián)網(wǎng)安全物聯(lián)網(wǎng)IOT

2019-08-26 05:21:26

2014-05-12 11:07:43

虛擬機(jī)性能虛擬機(jī)

2013-01-21 09:38:47

交換機(jī)交換技術(shù)網(wǎng)絡(luò)設(shè)備

2019-06-04 10:40:07

2017-11-01 06:29:59

2021-07-21 09:54:50

云計(jì)算云安全技術(shù)

2022-01-07 23:00:49

JavaScript安全工具

2022-06-14 08:46:25

安全網(wǎng)絡(luò)漏洞
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)