Strict-Transport-Security(HSTS)& X-Frame-Options & X-XSS-Protection

最新推荐文章于 2025-06-02 15:17:21 发布
最新推荐文章于 2025-06-02 15:17:21 发布
阅读量1k 收藏 10
点赞数 6
CC 4.0 BY-SA版权
分类专栏: HTTP安全 文章标签: xss 前端 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42451330/article/details/139631469

一、Strict-Transport-Security(HSTS)

1、HSTS介绍

        HTTP Strict-Transport-Security(通常简称为 HSTS)响应标头用来通知浏览器应该只通过 HTTPS 访问该站点,并且以后使用 HTTP 访问该站点的所有尝试都应自动重定向到 HTTPS。  

2、语法

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains; preload

3、指令

max-age=<expire-time>
浏览器应该记住的,只能使用 HTTPS 访问站点的最大时间量(以秒为单位)。

includeSubDomains 可选
如果这个可选的参数被指定,那么说明此规则也适用于该网站的所有子域名。

preload 可选 非标准
查看预加载 HSTS 获得详情。当使用 preload,max-age 指令必须至少是 31536000(一年),并且必须存在 includeSubDomains 指令。这不是标准的一部分。

4、示例

        现在和未来的所有子域名会自动使用 HTTPS,有效期(max-age)为一年。同时阻止通过 HTTP 访问页面或者子域的内容。


                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
HSTS漏洞(缺少Strict-Transport-Security头)

				
			

			

				

					墨痕诉清风的博客
				

				

					05-17
					
					3431
					
				

			

		

		

			
				
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。

			
		

	



                

            
              



	

		

			

				
					
渗透测试web未设置http头 Strict Transport Security

				
			

			

				

					墨痕诉清风的博客
				

				

					10-26
					
					9508
					
				

			

		

		

			
				
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。HSTS响应头格式preload]max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。...

			
		

	



              


  
              

                


	

		

			

				
					
HTTP 安全响应头(Security Response header)配置

				
			

			

				

					qq_42445433的博客
				

				

					08-11
					
					5340
					
				

			

		

		

			
				
HTTP 安全响应头(Security Response header)配置

			
		

	





	

		

			

				
					
webfuture:提示“Strict-Transport-Security头未设置”漏洞的解决方法

					
最新发布

				
			

			

				

					bbsh2099的博客
				

				

					06-02
					
					387
					
				

			

		

		

			
				
Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。修改we.config,给 HTTP 响应头加上 Strict-Transport-Security

			
		

	



		

			
		



	

		

			

				
					
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)

				
			

			

				

					weixin_30556161的博客
				

				

					02-11
					
					352
					
				

			

		

		

			
				
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(二)
HTTP strict transport security (HSTS) is defined inhttp://tools.ietf.org/html/ietf-websec-strict-transport-sec
HTTP-based dynamic pu...

			
		

	





	

		

			

				
					
HTTP Strict Transport Security (HSTS) in ASP.NET Core

				
			

			

				

					dotNET跨平台
				

				

					01-10
					
					1037
					
				

			

		

		

			
				
本文是《2020年了,再不会HTTPS就老了》的后篇,本文着重聊一聊HTTP Strict Transport Security协议的概念和应用。启用 HTTPS 还不够安全 ...

			
		

	





	

		

			

				
					
HTTP Strict Transport Security (通常简称为HSTS)

				
			

			

				

					双眸
				

				

					01-28
					
					8037
					
				

			

		

		

			
				
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。
Freebuf百科:什么是Strict-Transport-Security?
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com...

			
		

	





	

		

			

				
					
HSTS 网站http跳转到https

				
			

			

				

					乌云大帝的博客
				

				

					11-05
					
					3209
					
				

			

		

		

			
				
HTTP Strict Transport Security (通常简称为HSTS)
 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式.


作用


一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在

			
		

	





	

		

			

				
					
为什么我们要使用HTTP Strict Transport Security

				
			

			

				

					weixin_33982670的博客
				

				

					01-18
					
					1192
					
				

			

		

		

			
				
为什么我们要使用HTTP Strict Transport Security?                               
wenjian_tk0                                                                                                              2015-05-...

			
		

	





	

		

			

				
					
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

				
			

			

				

					马小婧QAQ
				

				

					09-02
					
					2049
					
				

			

		

		

			
				
为什么要配置HTTP响应头?


不知道各位有没有被各类XSS攻击、点击劫持(ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。







而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉..

			
		

	





	

		

			

				
					
Nginx配置Http响应头安全策略_nginx content-security-policy

				
			

			

				

					2301_82257383的博客
				

				

					04-28
					
					1432
					
				

			

		

		

			
				
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。

			
		

	





	

		

			

				
					
Python-Secure是一个轻量级包为PythonWeb框架添加了可选的安全头和cookie属性

				
			

			

				

					08-12
				

			

		

		

			
				
5. Strict-Transport-Security (HSTS):强制浏览器使用HTTPS协议,防止中间人攻击和SSL剥离攻击。  6. Referrer-Policy:控制referrer信息的发送,保护用户隐私,防止敏感信息泄露。  二、安全Cookie属性  1. Secure...

			
		

	





	

		

			

				
					
关于 HTTP 响应头字段 Strict-Transport-Security

				
			

			

				

					2007 年 ~ 2025 年,深耕 SAP 技术 18 年
				

				

					07-28
					
					1911
					
				

			

		

		

			
				
当你在Chrome开发者工具的Network面板中看到一个请求的Response Header字段"Strict-Transport-Security"的值为"max-age=31536000;preload"时,这表示网站已启用HSTS策略,浏览器将自动强制使用HTTPS连接与该网站进行通信,并且该策略可能适用于所有子域名,而且该网站可能已被添加到浏览器的HSTS预加载列表中。这些措施有助于提高网站的安全性,防止恶意攻击,并确保用户的连接是加密和安全的。

			
		

	





	

		

			

				
					
HTTP/Strict-Transport-Security在Linux Web服务器上的配置

				
			

			

				

					weixin_73725158的博客
				

				

					09-05
					
					969
					
				

			

		

		

			
				
HTTP Strict Transport SecurityHSTS)是一种安全功能,旨在增强Web通信的安全性,通过强制客户端(主要是浏览器)仅通过HTTPS与服务器建立连接,从而有效防止中间人攻击和数据泄露。通过以上步骤,你可以在Linux Web服务器上成功配置HSTS,从而增强你的网站安全性,保护用户数据免受中间人攻击和其他安全威胁。这行代码的作用是告诉浏览器在接下来的两年(63072000秒)内,仅通过HTTPS与你的网站通信,并且这个规则适用于所有子域名。或你的网站特定的配置文件。

			
		

	





	

		

			

				
					
渗透测试-HTTP Strict Transport Security

				
			

			

				

					csdnhnma的博客
				

				

					04-28
					
					3906
					
				

			

		

		

			
				
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。

0×01. Freebuf百科:什么是Strict-Transport-Security

我摘自owasp上的一段定义:


HTTPStrictTransportSecurity(HSTS)isanopt-insecurityenhancementthatisspecifiedbyawebapplicat...

			
		

	





	

		

			

				
					
检测到目标Strict-Transport-Security响应头缺失

				
			

			

				

					lxyoucan的博客
				

				

					07-14
					
					7147
					
				

			

		

		

			
				
其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

			
		

	





	

		

			

				
					
HSTS(HTTP 严格传输安全

				
			

			

				

					allway2的博客
				

				

					09-05
					
					4026
					
				

			

		

		

			
				
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。

			
		

	





	

		

			

				
					
HSTS - HTTP Strict Transport Security

				
			

			

				

					Larry的博客
				

				

					09-30
					
					3334
					
				

			

		

		

			
				
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security




HTTP Strict Transport Security (HSTS) is a web security policy mechanism which helps to protect websites against protocol
 downgr

			
		

	





	

		

			

				
					
HTTP 响应头 Strict-Transport-Security 缺失漏洞

				
			

			

				

					itScholar001的博客
				

				

					04-03
					
					982
					
				

			

		

		

			
				
这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security,没有设置则可以通过将https自己手动改成htttp的方式进行访问。HTTP 响应头 Strict-Transport-Security 缺失漏洞。如果此时你用http去访问的话则会报403 forbidden错误。http去访问的话则会报403 forbidden错误。添加了这个之后请求的响应头就会有这一段。2.手动在代码中设置。

			
		

	





	

		

			

				
					
Python-Secure增强Python Web框架安全性的轻量级包

				
			

			

				

					
				

			

		

		

			
				
3. Strict-Transport-Security (HSTS)HSTS告诉浏览器该网站只能通过HTTPS访问,不能通过不安全的HTTP进行访问。它强制浏览器与服务器之间通过安全通道通信,增强传输安全性。  4. X-Content-Type-Options:这个...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值