swift http plist_網站必備的五大HTTP安全标頭 為您的網站提供一些急需的保護

網站必備的五大HTTP安全标頭

使用者租用伺服器搭建網站，除了伺服器上的基本安全政策，網站的安全也需要注意。

HTTP安全标頭是網站安全的基本組成部分。

在超文本傳輸協定( Hypertext Transfer Protocol ，HTTP)的請求和響應消息中，協定頭部分的那些元件。

HTTP安全标頭實施後，可防止XSS，代碼注入，clickjacking等。

當使用者通過用戶端浏覽器通路站點時，伺服器使用HTTP響應頭進行響應。

站長可使用這些标頭進行通信并提高Web安全性。

下面介紹的五個安全頭，它們将為您的網站提供一些急需的保護。

1、HTTP嚴格傳輸安全(HSTS)

如一個名為megalayer.net的網站，并且已安裝SSL / TLS證書，從HTTP遷移到HTTPS。

但很多HTTPS網站，也可以通過HTTP來通路。

開發人員的失誤或者使用者主動輸入位址，都有可能導緻使用者以HTTP通路網站，降低了安全性。

此時，可通過HSTS解決問題，讓浏覽器預設HTTPS跳轉，省去一次HTTP請求。

另外，浏覽器本地替換可以保證隻會發送HTTPS請求，避免被劫持。

要使用HSTS，隻需要在HTTPS網站響應頭中，加入代碼

Strict-Transport-Security：max-age =

或

Strict-Transport-Security：max-age = ; includeSubDomains

或

Strict-Transport-Security：max-age = ; preload

2、内容安全政策(CSP)

HTTP内容安全政策響應标頭通過賦予網站管理者權限，管理網站允許加載的内容。

換句話說，使用者可以将網站的内容來源列入白名單。

内容安全政策可防止跨站點腳本和其他代碼注入攻擊。

雖然不能完全消除攻擊的可能性，但它确實可以将損害降至最低。

目前大多數主流浏覽器都支援CSP，是以相容性不成問題。

代碼：

Content-Security-Policy: ;

3、跨站點腳本保護(X-XSS)

X-XSS頭部可以防止跨站腳本攻擊。

Chrome，IE和Safari預設啟用XSS過濾器。

此篩選器在檢測到跨站點腳本攻擊時不會讓頁面加載。

代碼：

X-XSS-Protection: 0

X-XSS-Protection: 1

X-XSS-Protection: 1; mode=block

X-XSS-Protection: 1; report=

4、X-Frame-Options

在Orkut時代，一種名為“點選劫持”的欺騙技術非常流行。

在這種技術中，攻擊者愚弄使用者點選不在那裡的東西。

X-Frame-Options，是為了減少點選劫持(Clickjacking)而引入的一個響應頭。

這是通過禁用網站上存在的iframe來完成的。

換句話說，它不會讓别人嵌入網站的内容。

句法：

X-Frame-Options：DENY

X-Frame-Options：SAMEORIGIN

X-Frame-Options：ALLOW-FROM 網址

5、X-Content-Type-Options

網際網路上的資源有各種類型，通常浏覽器會根據響應頭的Content-Type字段來分辨它們的類型。

例如：”text/html”代表html文檔，”image/png”是PNG圖檔，”text/css”是CSS樣式文檔。

然而，有些資源的Content-Type是錯的或者未定義。

這時，某些浏覽器會啟用MIME-sniffing來猜測該資源的類型，解析内容并執行。

X-Content-Type标頭提供了針對MIME嗅探的對策。

它訓示浏覽器遵循标題中訓示的MIME類型。

作為發現資産檔案格式的功能，MIME嗅探也可用于執行跨站點腳本攻擊。

代碼：

X-Content-Type-Options：nosniff

關于伺服器 更多可以咨詢亞太網絡 鄧傑