![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLicmbw5iNwcjNmRmY0MDN0UWL5EGZ40SMxIWZtcTMwcTLxYjNyIDO3MzLcRnblRnbvN2Lc12bj5yZtlWZjVjL0ADcvw1LcpDc0RHaiojIsJye.png)
網站必備的五大HTTP安全标頭
使用者租用伺服器搭建網站,除了伺服器上的基本安全政策,網站的安全也需要注意。
HTTP安全标頭是網站安全的基本組成部分。
在超文本傳輸協定( Hypertext Transfer Protocol ,HTTP)的請求和響應消息中,協定頭部分的那些元件。
HTTP安全标頭實施後,可防止XSS,代碼注入,clickjacking等。
當使用者通過用戶端浏覽器通路站點時,伺服器使用HTTP響應頭進行響應。
站長可使用這些标頭進行通信并提高Web安全性。
下面介紹的五個安全頭,它們将為您的網站提供一些急需的保護。
1、HTTP嚴格傳輸安全(HSTS)
如一個名為megalayer.net的網站,并且已安裝SSL / TLS證書,從HTTP遷移到HTTPS。
但很多HTTPS網站,也可以通過HTTP來通路。
開發人員的失誤或者使用者主動輸入位址,都有可能導緻使用者以HTTP通路網站,降低了安全性。
此時,可通過HSTS解決問題,讓浏覽器預設HTTPS跳轉,省去一次HTTP請求。
另外,浏覽器本地替換可以保證隻會發送HTTPS請求,避免被劫持。
要使用HSTS,隻需要在HTTPS網站響應頭中,加入代碼
Strict-Transport-Security:max-age =
或
Strict-Transport-Security:max-age = ; includeSubDomains
或
Strict-Transport-Security:max-age = ; preload
2、内容安全政策(CSP)
HTTP内容安全政策響應标頭通過賦予網站管理者權限,管理網站允許加載的内容。
換句話說,使用者可以将網站的内容來源列入白名單。
内容安全政策可防止跨站點腳本和其他代碼注入攻擊。
雖然不能完全消除攻擊的可能性,但它确實可以将損害降至最低。
目前大多數主流浏覽器都支援CSP,是以相容性不成問題。
代碼:
Content-Security-Policy: ;
3、跨站點腳本保護(X-XSS)
X-XSS頭部可以防止跨站腳本攻擊。
Chrome,IE和Safari預設啟用XSS過濾器。
此篩選器在檢測到跨站點腳本攻擊時不會讓頁面加載。
代碼:
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=
4、X-Frame-Options
在Orkut時代,一種名為“點選劫持”的欺騙技術非常流行。
在這種技術中,攻擊者愚弄使用者點選不在那裡的東西。
X-Frame-Options,是為了減少點選劫持(Clickjacking)而引入的一個響應頭。
這是通過禁用網站上存在的iframe來完成的。
換句話說,它不會讓别人嵌入網站的内容。
句法:
X-Frame-Options:DENY
X-Frame-Options:SAMEORIGIN
X-Frame-Options:ALLOW-FROM 網址
5、X-Content-Type-Options
網際網路上的資源有各種類型,通常浏覽器會根據響應頭的Content-Type字段來分辨它們的類型。
例如:”text/html”代表html文檔,”image/png”是PNG圖檔,”text/css”是CSS樣式文檔。
然而,有些資源的Content-Type是錯的或者未定義。
這時,某些浏覽器會啟用MIME-sniffing來猜測該資源的類型,解析内容并執行。
X-Content-Type标頭提供了針對MIME嗅探的對策。
它訓示浏覽器遵循标題中訓示的MIME類型。
作為發現資産檔案格式的功能,MIME嗅探也可用于執行跨站點腳本攻擊。
代碼:
X-Content-Type-Options:nosniff
關于伺服器 更多可以咨詢亞太網絡 鄧傑