HTTP報文頭—安全問題
Mirror王宇陽
2019-10-01
參考:MDN技術文檔;《http頭安全相關的選項_by`myh0st》
認識HTTP協議
https://www.cnblogs.com/wangyuyang1016/p/10421073.html
HTTP是一個可擴展的協議~
X-Frame-Options:
X-Frame-Options HTTP響應頭是用來給瀏覽器 指示允許一個頁面 可否在 <frame> <iframe> <embed>或者<object>中展現的標記。站點可以通過確保網站沒有被嵌入到別人的站點里面,從而避免 點擊劫持攻擊。
frame標簽:框架標簽,放置一個HTML文檔(頁面)
iframe標簽:內聯框架標簽,在一個HTML頁面中顯示(插入)另一個HTML頁面
embed標簽:音頻元素標簽,插入一個音頻元素
object標簽:定義外部內容的容器標簽
-
語法:
DENY:表示該頁面不允許在frame中展示,即便在相同域名的頁面中嵌套也不可以。
SAMEORLGIN:表示該頁面可以在相同域名頁面的frame中展示
ALLOW - FROM:表示該頁面可以在指定來源的frame中展示
如果設置DENY,該頁面在任何地方的frame中都無法加載;設置SAMEORLGIN那么就可以在同域名頁面中的frame標簽中嵌套並加載該頁面
配置Web容器:
- 配置Apache,所有頁面上發送
X-Frame-Options響應頭,需要在site中配置如下:
Header always append X-Frame-Options SAMEORLGIN
- 配置Nginx,所有頁面上發送
X-Frame-Options響應頭,在http,server或者locationp配置中添加:
add_header X-Frame-Options SAMEORLGIN;
- 配置IIS,在Web.config文件中添加:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORLGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
*具體的技術文檔請參考:MDN_X-Frame-Options
MDN Web Docs 是一個提供 Web 技術和促進 Web 技術軟件的不斷發展的學習平台,包括:
- Web 標准(例如:CSS、HTML 和 JavaScript)
- 開放 Web 應用開發
- Firefox 附加組件開發
X-Content-Type-Options:
X-Content-Type-Options HTTP響應首部相當於一個提示標志,服務器用來提示客戶端一定要遵循在 Content-Type 首部中對 MIME 類型 的設定,而不能對其進行修改。這就禁用了客戶端的 MIME 類型嗅探(防止用戶修改MIME上傳非法文件類型或利用解析來執行JavaScript……)行為,換句話說,也就是意味着網站管理員確定自己的設置沒有問題。
通過X-Content-Type-OptionsHTTP響應頭可以禁止瀏覽器的類型猜測行為;
- 語法:
X-Content-Type-Options:nosniff
-
指令:(nosniff是固定的)
nosniff:(下面兩種情況會被禁止)
請求類型
style但是MIME類型不是text/css 請求類型
script但是MIME類型不是application/x-javascript
Access-Control-Allow-Origin:
Access-Control-Allow-Origin 響應頭指定了該響應的資源是否被允許與給定的origin共享。跨原始資源共享(CORS)允許網站在它們之間共享內容,為了使網站之間安全的跨域獲取資源,可以通過設置Access-Control-Allow-Origin來允許指定網站來跨域獲取本地資源。
當目標頁面的
response中包含Access-Control-Allow-Origin這個header,並且value有對方的域名,瀏覽器才允許目標獲取頁面的數據。
只允許”10.10.10.10“訪問自己本地資源
Access-Control-Allow-Origin: http://10.10.10.10
-
語法
Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origin> -
指令
*對於不需具備憑證(credentials)的請求,服務器會以“
*”作為通配符,從而允許所有域都具有訪問資源的權限。<origin>指定一個可以訪問資源的URL。
X-XSS-Protection:
HTTP X-XSS-Protection 響應頭是Internet Explorer,Chrome和Safari的一個功能,當檢測到跨站腳本攻擊 (XSS)時,瀏覽器將停止加載頁面。雖然這些保護在現代瀏覽器中基本上是不必要的,當網站實施一個強大的Content-Security-Policy來禁用內聯的JavaScript ('unsafe-inline')時, 他們仍然可以為尚不支持 CSP 的舊版瀏覽器的用戶提供保護。
CSP:內容安全策略
用於檢測和減輕用於Web站點的特定類型的攻擊,例如XSS和SQL注入;基於
Content-Security-Policy實現策略
-
語法:
X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri>0禁止XSS過濾。
1啟用XSS過濾(通常瀏覽器是默認的)。 如果檢測到跨站腳本攻擊,瀏覽器將清除頁面(刪除不安全的部分)。
1;mode=block啟用XSS過濾。 如果檢測到攻擊,瀏覽器將不會清除頁面,而是阻止頁面加載。
1; report=<reporting-URI> (Chromium only)啟用XSS過濾。 如果檢測到跨站腳本攻擊,瀏覽器將清除頁面並使用CSP
report-uri指令的功能發送違規報告。
HTTP Strict Transport Security(HSTS):
HTTP Strict Transport Security(通常簡稱為HSTS)是一個安全功能,它告訴瀏覽器只能通過HTTPS訪問當前資源,而不是HTTP。
一個網站接受一個HTTP的請求,然后跳轉到HTTPS,用戶可能在開始跳轉前,通過沒有加密的方式和服務器對話,比如,用戶輸入http://foo.com或者直接foo.com。
這樣存在中間人攻擊潛在威脅,跳轉過程可能被惡意網站利用來直接接觸用戶信息,而不是原來的加密信息。
網站通過HTTP Strict Transport Security通知瀏覽器,這個網站禁止使用HTTP方式加載,瀏覽器應該自動把所有嘗試使用HTTP的請求自動替換為HTTPS請求。
注意: Strict-Transport-Security 在通過 HTTP 訪問時會被瀏覽器忽略; 因為攻擊者可以通過中間人攻擊的方式在連接中修改、注入或刪除它. 只有在你的網站通過HTTPS訪問並且沒有證書錯誤時, 瀏覽器才認為你的網站支持HTTPS 然后使用 Strict-Transport-Security 的值 .
-
語法:
Strict-Transport-Security: max-age=<expire-time> Strict-Transport-Security: max-age=<expire-time>; includeSubDomains Strict-Transport-Security: max-age=<expire-time>; preload -
指令:
max-age=<expire-time>設置在瀏覽器收到這個請求后的
秒的時間內凡是訪問這個域名下的請求都使用HTTPS請求。 includeSubDomains[可選]如果這個可選的參數被指定,那么說明此規則也適用於該網站的所有子域名。
preload[可選]查看 預加載 HSTS 獲得詳情。不是標准的一部分。
*HTTP Strict Transport Security(HSTS)參考文檔
Content Security Policy*
CSP是一個計算機的安全標志,主要用來防止XSS、點擊劫持、SQL注入等攻擊;CSP通過定義運行加載腳本的位置和內容防止惡意代碼的加載。
-
用法:
CSP由HTTP頭的
Content-Security-Policy定義,每一個HTTP請求最多返回一個CSP頭部,格式:Content-Security-Policy:policy
小編安利:
一個Web開發技術的優秀文檔技術網站:https://developer.mozilla.org/zh-CN/