设置 HTTP HEADER 字段来提高 Web 安全性

最新推荐文章于 2024-04-08 09:05:21 发布
最新推荐文章于 2024-04-08 09:05:21 发布
阅读量353 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: python
原文链接:https://my.oschina.net/lichaoqiang/blog/1057713
本文详细介绍了HTTP头部中涉及的安全性设置,包括X-Frame-Options、X-Content-Type-Options、X-XSS-Protection等头部字段的作用及配置方法,旨在帮助开发者理解如何通过合理设置这些头部来增强网站的安全性。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

X-Frame-Options

该响应头中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面,主要用来防止 Clickjacking (点击劫持)攻击。

X-Frame-Options: SAMEORIGIN
DENY 禁止显示 frame 内的页面(即使是同一网站内的页面)
SAMEORIGIN
允许在 frame 内显示来自同一网站的页面,禁止显示来自其他网站的页面
ALLOW-FROM origin_uri 允许在 frame 内显示来自指定 uri 的页面(当允许显示来自于指定网站的页面时使用)

X-Content-Type-Options

如果从 script 或 stylesheet 读入的文件的 MIME 类型与指定 MIME 类型不匹配,不允许读取该文件。用于防止 XSS 等跨站脚本攻击。

X-Frame-Options: nosniff

X-XSS-Protection

用于启用浏览器的 XSS 过滤功能,以防止 XSS 跨站脚本攻击。

X-XSS-Protection: 1; mode=block
0 禁用 XSS 过滤功能
1 启用 XSS 过滤功能

Content-Security-Policy

用于控制当外部资源不可信赖时不被读取。用于防止 XSS 跨站脚本攻击或数据注入攻击(但是,如果设定不当,则网站中的部分脚本代码有可能失效)。

之前的字段名为 X-Content-Security-Policy

Content-Security-Policy: default-src 'self'
default-src ‘self’:允许读取来自于同源(域名+主机+端口号)的所有内容
default-src ‘self’
*.example.com:允许读取来自于指定域名及其所有子域名的所有内容

X-Permitted-Cross-Domain-Policies

用于指定当不能将”crossdomain.xml”文件(当需要从别的域名中的某个文件中读取 Flash 内容时用于进行必要设置的策略文件)放置在网站根目录等场合时采取的替代策略。

X-Permitted-Cross-Domain-Policies: master-only
master-only 只允许使用主策略文件(/crossdomain.xml)

Strict-Transport-Security

用于通知浏览器只能使用 HTTPS 协议访问网站。用于将 HTTP 网站重定向到 HTTPS 网站。

Strict-Transport-Security: max-age=31536; includeSubDomains
max-age 用于修改 STS 的默认有效时间。
includeSubDomains 用于指定所有子域名同样使用该策略。

Access-Control-Allow-Origin等CORS相关字段

当使用 XMLHttpRequest 从其他域名中获取资源进行跨域通信时使用。

Access-Control-Allow-Origin: http://www.example.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-CODE
Access-Control-Max-Age: 1728

上述代码用于设定与”http://www.example.com“进行跨域通信处理,允许使用 POST, GET, OPTIONS 方法,在发送的请求头中添加 X-CODE 字段,通信超时时间为1,728,00秒。

转载于:https://my.oschina.net/lichaoqiang/blog/1057713

如何保障HTTP请求的安全性
swadian2008的博客
02-10 2848
请求体的内容:请求体中的内容由具体的请求数据构成,可以是表单数据、JSON数据、XML数据、二进制数据等。对请求体进行安全检测:可以采用一定的安全检测技术,如WAF(Web应用程序防火墙)等,对请求体进行实时监控和检测,及时发现和防范安全威胁。对请求体进行访问控制:可以采用一定的访问控制策略,对请求体进行权限控制和鉴别,只允许授权用户访问请求体数据,从而保障数据的安全性。:在使用HTTP协议时,可以对请求体进行加密,采用对称加密或非对称加密等加密方式,确保请求体数据的机密性和完整性。
WEB项目HTTP HEADER常见的安全漏洞
m0_37049740的博客
03-12 3049
WEB项目中有些常见的漏洞,是大家都没注意到或者不了解的。这当中涉及了前后端程序设计的安全问题,也有HTTP 报文头的常见漏洞,如XSS等。这里梳理一些常见的漏洞,给大家做说明与提供一套解决方案。
web.xml中<security-constraint>和四种认证类型
01-17 1496
的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 中没有 子元素的话,配置实际上是不起中用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  web.xml:  Xml代
cookie 和 token 都存放在 header 中,为什么不会劫持 token?
rqz__的博客
09-14 1852
虽然Cookie和Token都存在一定的安全风险,但在合理使用的情况下,采取相应的安全措施可以有效地降低劫持的风险。同时,开发人员也需要注意安全编码实践,避免XSS、CSRF等攻击方式。Cookie和Token都可以存放在HTTP请求的Header中进行传输,但它们有不同的机制来保护安全性,以防止劫持
设置HTTP响应头 保护自己的Web
dijiaowu8633的博客
08-16 1361
转载至:https://geekflare.com/http-header-implementation/如有侵权请立即联系我删除。 Do you know most the security vulnerabilities can be fixed by implementing necessary headers in the response header? Secu...
如何使用 HTTP 响应头字段提高 Web 安全性
wangpeng198688的专栏
01-29 3492
Web 服务器做出响应时,为了提高安全性,在 HTTP 响应头中可以使用的各种响应头字段。X-Frame-Options该响应头中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面,主要用来防止 Clickjacking (点击劫持)攻击。X-Frame-Options: SAMEORIGIN DENY 禁止显示 frame 内的页面(即使是同一网站内的页面) SAMEORI
配置HTTP响应头提高Web安全
weixin_42991716的博客
06-02 1519
1 X-Frame-Options(点击劫持) 1.1 定义 **点击劫持(ClickJacking)**劫持的是用户的鼠标点击操作,劫持目标是含有重要会话交互的页面,如银行交易页面、后台管理页面等; 场景: 就比如通过修改偏移量,比如一个关闭按钮,有可能底下覆盖的是一个关注按钮 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器 响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X
header函数设置响应头解决php跨域问题实例详解
12-19
PHP作为一种服务器端编程语言,可以通过`header`函数来设置响应头,从而解决跨域问题。 `header`函数在PHP中用于发送原始服务器头信息。它的工作原理是在HTTP响应中添加自定义的头部字段,这些字段会被浏览器解析并...
HTTP协议的Header头信息详解.txt
09-14
HTTP协议中的Header头信息对于确保Web应用程序的安全性和高效性至关重要。通过对这些头部的理解和合理利用,开发者能够构建出更加强大、灵活且用户友好的Web应用。此外,深入理解这些Header头信息也有助于解决实际...
web应用安全与加速课程讲义.pdf
08-29
Web应用安全与加速课程...综上,理解HTTP协议及其在Web安全和加速中的应用是保障Web服务质量和安全性的重要基础。开发人员和运维人员需要持续关注这一领域的最新发展,以应对不断变化的网络安全挑战并提升服务性能。
Spring Security漏洞防护—HTTP 安全响应头
深圳市多克创新科技有限公司
10-24 2705
Spring Security漏洞防护—HTTP 安全响应头
使用nginx处理的一些安全漏洞
fanggeyan的博客
07-19 7928
nginx.conflocation根据项目路径配置(实际就是把/替换为/;负载也会产生一条set-cookies信息,upstreamroute后加上SecureHttpOnly。控制referer来源,例如非192.168.41网段地址返回403错误。nginx.conflocation添加。nginx.conflocation设置。nginx.confserver下配置。nginx.confhttp添加。nginxlocation配置。......
关于nginx HTTP安全响应问题
liwan09的博客
04-20 1万+
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
lxyoucan的博客
07-19 7124
Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。
http响应头安全策略(nginx版)
热门推荐
liulangdewoniu的博客
05-07 1万+
web应用安全问题整理与记录
网站安全响应头缺失和php配置漏洞
春秋一阕任琦行
09-10 5330
最近给学校做网站,被查出各种响应头缺失的 低危漏洞 和 一些配置漏洞,还有一些需要https的配置。。。。。 php.ini 中修改 expose_php off // php彩蛋信息泄露 session.cookie_httponly=true // cookie没有设置httponly属性 PHP 配置 header("X-Frame-Options:SAMEO...
安全
weixin_34273046的博客
05-23 1466
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx配置Http响应头安全策略_nginx content-security-policy(1)
最新发布
m0_58269520的博客
04-08 2656
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
WEB安全性测试:SQL注入与XSS防护
"WEB安全性测试涉及多种方法和技术,包括SQL注入、XSS攻击、CSRF、邮件标头注入和目录遍历等。这些攻击手段主要针对WEB应用程序的漏洞,威胁用户数据安全和系统完整性。本文将详细介绍如何进行这些测试,以便识别并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值