Strict-Transport-Security(HSTS)& X-Frame-Options & X-XSS-Protection

最新推荐文章于 2025-09-17 00:35:57 发布
原创 最新推荐文章于 2025-09-17 00:35:57 发布 · 1.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端 #web安全 #网络安全

一、Strict-Transport-Security(HSTS)

1、HSTS介绍

        HTTP Strict-Transport-Security(通常简称为 HSTS)响应标头用来通知浏览器应该只通过 HTTPS 访问该站点,并且以后使用 HTTP 访问该站点的所有尝试都应自动重定向到 HTTPS。  

2、语法

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains; preload

3、指令

max-age=<expire-time>
浏览器应该记住的,只能使用 HTTPS 访问站点的最大时间量(以秒为单位)。

includeSubDomains 可选
如果这个可选的参数被指定,那么说明此规则也适用于该网站的所有子域名。

preload 可选 非标准
查看预加载 HSTS 获得详情。当使用 preload,max-age 指令必须至少是 31536000(一年),并且必须存在 includeSubDomains 指令。这不是标准的一部分。

4、示例

        现在和未来的所有子域名会自动使用 HTTPS,有效期(max-age)为一年。同时阻止通过 HTTP 访问页面或者子域的内容。


                

        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
JS `HTTP Headers` 的安全配置:`Strict-Transport-Security`, `X-Content-Type-Options`

				
			

			

				

					weixin_41455464的博客
				

				

					07-18
					
					938
					
				

			

		

		

			
				
如果快递单被人篡改,或者信息不全,那你的包裹(数据)可能就会被偷走,或者送到错误的地方。所以,配置好 HTTP Headers,就相当于给你的快递加上了防盗锁和追踪器,确保安全送达。这中间就存在一个窗口期,黑客可以利用中间人攻击,截取你的信息,或者把你重定向到钓鱼网站。它告诉浏览器:“嘿,哥们儿,以后访问我的网站,直接用 HTTPS,别废话!这就可能导致安全问题,例如,攻击者可以将恶意代码伪装成图片,然后通过浏览器嗅探漏洞来执行。想象一下,你的网站只支持 HTTPS,但用户第一次访问时,傻乎乎地输入了。

			
		

	



                

            
              



	

		

			

				
					
HSTS漏洞(缺少Strict-Transport-Security头)

				
			

			

				

					墨痕诉清风的博客
				

				

					05-17
					
					3812
					
				

			

		

		

			
				
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。

			
		

	



              


  
              

                


	

		

			

				
					
Tomcat中的HTTP响应头Strict-Transport-Security配置详解

					
最新发布

				
			

			

				

					gitblog_00125的博客
				

				

					09-17
					
					1240
					
				

			

		

		

			
				
Strict-Transport-SecurityHSTS,HTTP严格传输安全)是一种Web安全策略机制,通过HTTP响应头(Response Header)告知浏览器:此后对于该网站的所有请求必须使用HTTPS(Hypertext Transfer Protocol Secure,超文本传输安全协议),而不是HTTP(Hypertext Transfer Protocol,超文本传输协议)。...

			
		

	





	

		

			

				
					
HSTS----HTTP严格传输安全协议

				
			

			

				

					Swee
				

				

					07-16
					
					1481
					
				

			

		

		

			
				
HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS),是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

缘起:启用HTTPS也不够安全
有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不

			
		

	



		

			
		



	

		

			

				
					
HTTP Strict Transport Security (HSTS) in ASP.NET Core

				
			

			

				

					dotNET跨平台
				

				

					01-10
					
					1088
					
				

			

		

		

			
				
本文是《2020年了,再不会HTTPS就老了》的后篇,本文着重聊一聊HTTP Strict Transport Security协议的概念和应用。启用 HTTPS 还不够安全 ...

			
		

	





	

		

			

				
					
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)

				
			

			

				

					weixin_30556161的博客
				

				

					02-11
					
					386
					
				

			

		

		

			
				
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(二)
HTTP strict transport security (HSTS) is defined inhttp://tools.ietf.org/html/ietf-websec-strict-transport-sec
HTTP-based dynamic pu...

			
		

	





	

		

			

				
					
HSTS 网站http跳转到https

				
			

			

				

					乌云大帝的博客
				

				

					11-05
					
					3368
					
				

			

		

		

			
				
HTTP Strict Transport Security (通常简称为HSTS)
 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式.


作用


一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在

			
		

	





	

		

			

				
					
Security Headers (如 X-Content-Type-Options, X-XSS-Protection)安全作用和局限性。

				
			

			

				

					weixin_41455464的博客
				

				

					07-24
					
					541
					
				

			

		

		

			
				
你(客户端)先拨号(发起请求),服务器接电话(收到请求),然后服务器会先跟你说几句客套话(响应头),比如“你好,我是服务器A,我这就把你要的东西给你”,然后再把你要的东西(响应体)给你。作为开发者,我们需要不断学习新的安全知识,不断更新我们的安全防御策略,才能保护我们的网站和用户免受攻击。举个例子,假设服务器告诉你某个文件是text/plain(纯文本),但是浏览器发现这个文件里面包含HTML标签,它可能会认为这是一个HTML文件,然后按照HTML的方式来解析。在跨域请求时,只发送源。

			
		

	





	

		

			

				
					
	add_header X-Content-Type-Options &quot;nosniff&quot; always;
		add_header X-Frame-Options SAMEORIGIN;
		add_header X-XSS-Protection &quot;1; mode=block&quot; always;
		add_header Referrer-Policy &quot;no-referrer-when-downgrade&quot; always;
		add_header Strict-Transport-Security &quot;max-age=31536000; includeSubDomains&quot; always;
		proxy_set_header Host $host;
		add_header Access-Control-Allow-Origin $http_origin;  这些配置会影响吗

				
			

			

				

					07-18
				

			

		

		

			
				
### 3.5 Strict-Transport-Security (HSTS)  `Strict-Transport-Security: max-age=63072000; includeSubDomains; preload` 告知浏览器仅通过 HTTPS 访问站点,并缓存该策略一段时间。它有效防止 SSLStrip 等中间人...

			
		

	





	

		

			

				
					
在springboot项目中修复HTTP Security Header Not Detected 漏洞,并提供验证方式。参考解决方案:Note:  To better debug the results of this QID, it is requested that customers execute commands to simulate the following functionality: curl -lkL --verbose. 
CWE-693: Protection Mechanism Failure mentions the following - The product does not use or incorrectly uses a protection mechanism that provides sufficient defense against directed attacks against the product. A &quot;missing&quot; protection mechanism occurs when the application does not define any mechanism against a certain class of attack. An &quot;insufficient&quot; protection mechanism might provide some defenses - for example, against the most common attacks - but it does not protect against everything that is intended. Finally, an &quot;ignored&quot; mechanism occurs when a mechanism is available and in active use within the product, but the developer has not applied it in some code path. 
Customers are advised to set proper X-Content-Type-Options (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options) and Strict-Transport-Security (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security) HTTP response headers. 
Depending on their server software, customers can set directives in their site configuration or Web.config files. Few examples are: 
X-Content-Type-Options: 
Apache: Header always set X-Content-Type-Options: nosniff 
HTTP Strict-Transport-Security: 
Apache: Header always set Strict-Transport-Security &quot;max-age=31536000; includeSubDomains&quot; 
Nginx: add_header Strict-Transport-Security max-age=31536000; 
 Note: Network devices that include a HTTP/HTTPS console for administrative/management purposes often do not include all/some of the security headers. This is a known issue and it is recommend to contact the vendor for a solution.

				
			

			

				

					07-01
				

			

		

		

			
				
- **X-XSS-Protection**:启用浏览器内置的 XSS 过滤器,并在检测到攻击时阻止页面渲染。 - **Referrer-Policy**:控制 HTTP Referer 头的行为,减少敏感信息泄露。 - **Feature-Policy**:限制某些浏览器功能(如...

			
		

	





	

		

			

				
					
渗透测试web未设置http头 Strict Transport Security

				
			

			

				

					墨痕诉清风的博客
				

				

					10-26
					
					9669
					
				

			

		

		

			
				
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。HSTS响应头格式preload]max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。...

			
		

	





	

		

			

				
					
HTTP Strict Transport Security (通常简称为HSTS)

				
			

			

				

					双眸
				

				

					01-28
					
					8271
					
				

			

		

		

			
				
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。
Freebuf百科:什么是Strict-Transport-Security?
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com...

			
		

	





	

		

			

				
					
为什么我们要使用HTTP Strict Transport Security

				
			

			

				

					weixin_33982670的博客
				

				

					01-18
					
					1216
					
				

			

		

		

			
				
为什么我们要使用HTTP Strict Transport Security?                               
wenjian_tk0                                                                                                              2015-05-...

			
		

	





	

		

			

				
					
关于 HTTP 响应头字段 Strict-Transport-Security

				
			

			

				

					2007 年 ~ 2025 年,深耕 SAP 技术 18 年
				

				

					07-28
					
					2256
					
				

			

		

		

			
				
当你在Chrome开发者工具的Network面板中看到一个请求的Response Header字段"Strict-Transport-Security"的值为"max-age=31536000;preload"时,这表示网站已启用HSTS策略,浏览器将自动强制使用HTTPS连接与该网站进行通信,并且该策略可能适用于所有子域名,而且该网站可能已被添加到浏览器的HSTS预加载列表中。这些措施有助于提高网站的安全性,防止恶意攻击,并确保用户的连接是加密和安全的。

			
		

	





	

		

			

				
					
HSTS(HTTP 严格传输安全

				
			

			

				

					allway2的博客
				

				

					09-05
					
					4218
					
				

			

		

		

			
				
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。

			
		

	





	

		

			

				
					
HTTP/Strict-Transport-Security在Linux Web服务器上的配置

				
			

			

				

					weixin_73725158的博客
				

				

					09-05
					
					1123
					
				

			

		

		

			
				
HTTP Strict Transport SecurityHSTS)是一种安全功能,旨在增强Web通信的安全性,通过强制客户端(主要是浏览器)仅通过HTTPS与服务器建立连接,从而有效防止中间人攻击和数据泄露。通过以上步骤,你可以在Linux Web服务器上成功配置HSTS,从而增强你的网站安全性,保护用户数据免受中间人攻击和其他安全威胁。这行代码的作用是告诉浏览器在接下来的两年(63072000秒)内,仅通过HTTPS与你的网站通信,并且这个规则适用于所有子域名。或你的网站特定的配置文件。

			
		

	





	

		

			

				
					
渗透测试-HTTP Strict Transport Security

				
			

			

				

					csdnhnma的博客
				

				

					04-28
					
					4402
					
				

			

		

		

			
				
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。

0×01. Freebuf百科:什么是Strict-Transport-Security

我摘自owasp上的一段定义:


HTTPStrictTransportSecurity(HSTS)isanopt-insecurityenhancementthatisspecifiedbyawebapplicat...

			
		

	





	

		

			

				
					
检测到目标Strict-Transport-Security响应头缺失

				
			

			

				

					lxyoucan的博客
				

				

					07-14
					
					7282
					
				

			

		

		

			
				
其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

			
		

	





	

		

			

				
					
HSTS - HTTP Strict Transport Security

				
			

			

				

					Larry的博客
				

				

					09-30
					
					3406
					
				

			

		

		

			
				
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security




HTTP Strict Transport Security (HSTS) is a web security policy mechanism which helps to protect websites against protocol
 downgr

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值