HTTP安全標(biāo)頭是網(wǎng)站安全的基本組成部分http協(xié)議有許多可以增強網(wǎng)站安全性，減少用戶被攻擊的安全策略，部署這些安全標(biāo)頭有助于保護您的網(wǎng)站免受XSS,代碼注入，clickjacking的侵?jǐn)_。

當(dāng)用戶通過瀏覽器訪問站點時，服務(wù)器使用HTTP響應(yīng)頭進行響應(yīng)。這些header告訴瀏覽器如何與站點通信。它們包含了網(wǎng)站的metadata。您可以利用這些信息概括整個通信并提高安全性。本文將依次介紹HTTP協(xié)議安全相關(guān)header。

1. 強制使用https傳輸，HTTP Strict Transport Security (HSTS)

在各種劫持小廣告+多次跳轉(zhuǎn)的網(wǎng)絡(luò)環(huán)境下，可以有效緩解此類現(xiàn)象。同時也可以用來避免從https降級到http攻擊(SSL Strip)

服務(wù)器設(shè)置響應(yīng)頭：Strict-Transport-Security: max-age=31536000 ; includeSubDomains​ 即可開啟

網(wǎng)站(譬如百度)啟用該策略后且在有效期之內(nèi)，用戶在瀏覽器地址欄輸入baidu.com后，瀏覽器不會經(jīng)歷該過程：baidu.com--->http://www.baidu.com--->https://www.baidu.com;而是直接訪問https://www.baidu.com

該策略只適用于80、443端口。

有些網(wǎng)站并不是全站https比如圖片，畢竟使用https對服務(wù)器性能要求更高，中間人攻擊仍然可以修改用戶看到的圖片。

2. 安全策略(CSP)

HTTP內(nèi)容安全策略響應(yīng)標(biāo)頭通過賦予網(wǎng)站管理員權(quán)限來限制用戶被允許在站點內(nèi)加載的資源，從而為網(wǎng)站管理員提供了一種控制感。 換句話說，您可以將網(wǎng)站的內(nèi)容來源列入白名單。

內(nèi)容安全策略可防止跨站點腳本和其他代碼注入攻擊。 雖然它不能完全消除它們的可能性，但它確實可以將損害降至最低。 大多數(shù)主流瀏覽器都支持CSP，所以兼容性不成問題。

Content-Security-Policy: <policy-directive>; <policy-directive> 

3. 跨站XSS防護，X-XSS-Protection

開啟瀏覽器端的xss防護，減少反射xss對用戶的危害(chrome瀏覽器默認(rèn)開啟)

服務(wù)器配置響應(yīng)頭：

X-XSS-Protection: 1; mode=block / 1; report=http://[YOURDOMAIN]/your_report_URI 

[[261206]]

4. 阻止網(wǎng)站被嵌套，X-Frame-Options

網(wǎng)站被嵌套，可能出現(xiàn)clickhijacking等攻擊

服務(wù)器配置響應(yīng)頭：

X-Frame-Options: deny/sameorigin/allow-from: DOMAIN 

因為​X-Frame-Options只檢測與top窗口的關(guān)系，若有多層嵌套victim{hacker{victim，則可以繞過，

另外主頁面可以監(jiān)聽事件onBeforeUnload可以取消iframe的跳轉(zhuǎn);iframe的sandbox屬性可以禁用iframe中的j

所以需要配合csp規(guī)則的Content-Security-Policy: frame-ancestors 'self';

5. 配置多種安全策略，Content-Security-Policy

可以定義許多安全策略，script-src，frame-src ，referrer等

服務(wù)器配置響應(yīng)頭：Content-Security-Policy: script-src 'self'

[[261207]]

6. 響應(yīng)內(nèi)容探測，X-Content-Type-Options

有些服務(wù)器響應(yīng)內(nèi)容未設(shè)置content-type，瀏覽器會自動檢測內(nèi)容type(MIME自識別)，會出現(xiàn)編碼相關(guān)的安全問題(IE和chrome會忽略content-type 自行推測網(wǎng)頁格式、編碼等，會出現(xiàn)IE的utf-7 xss繞過等bug)

服務(wù)器配置響應(yīng)頭：X-Content-Type-Options: nosniff

[[261208]]

時代在進步在發(fā)展，我們的生活越來越離不開網(wǎng)絡(luò)，可以說網(wǎng)絡(luò)承載著我們大部分的生活，稍不注意就會裸露在不法分子手上。為網(wǎng)站部署SSL證書進程已勢不可擋，數(shù)安時代建議廣大站長或企業(yè)網(wǎng)站負(fù)責(zé)人盡早為網(wǎng)站部署合適的SSL證書.