设置 HTTP HEADER 字段来提高 Web 安全性

X-Frame-Options

该响应头中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面,主要用来防止 Clickjacking (点击劫持)攻击。

X-Frame-Options: SAMEORIGIN
DENY 禁止显示 frame 内的页面(即使是同一网站内的页面)
SAMEORIGIN
允许在 frame 内显示来自同一网站的页面,禁止显示来自其他网站的页面
ALLOW-FROM origin_uri 允许在 frame 内显示来自指定 uri 的页面(当允许显示来自于指定网站的页面时使用)

X-Content-Type-Options

如果从 script 或 stylesheet 读入的文件的 MIME 类型与指定 MIME 类型不匹配,不允许读取该文件。用于防止 XSS 等跨站脚本攻击。

X-Frame-Options: nosniff

X-XSS-Protection

用于启用浏览器的 XSS 过滤功能,以防止 XSS 跨站脚本攻击。

X-XSS-Protection: 1; mode=block
0 禁用 XSS 过滤功能
1 启用 XSS 过滤功能

Content-Security-Policy

用于控制当外部资源不可信赖时不被读取。用于防止 XSS 跨站脚本攻击或数据注入攻击(但是,如果设定不当,则网站中的部分脚本代码有可能失效)。

之前的字段名为 X-Content-Security-Policy

Content-Security-Policy: default-src 'self'
default-src ‘self’:允许读取来自于同源(域名+主机+端口号)的所有内容
default-src ‘self’
*.example.com:允许读取来自于指定域名及其所有子域名的所有内容

X-Permitted-Cross-Domain-Policies

用于指定当不能将”crossdomain.xml”文件(当需要从别的域名中的某个文件中读取 Flash 内容时用于进行必要设置的策略文件)放置在网站根目录等场合时采取的替代策略。

X-Permitted-Cross-Domain-Policies: master-only
master-only 只允许使用主策略文件(/crossdomain.xml)

Strict-Transport-Security

用于通知浏览器只能使用 HTTPS 协议访问网站。用于将 HTTP 网站重定向到 HTTPS 网站。

Strict-Transport-Security: max-age=31536; includeSubDomains
max-age 用于修改 STS 的默认有效时间。
includeSubDomains 用于指定所有子域名同样使用该策略。

Access-Control-Allow-Origin等CORS相关字段

当使用 XMLHttpRequest 从其他域名中获取资源进行跨域通信时使用。

Access-Control-Allow-Origin: http://www.example.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-CODE
Access-Control-Max-Age: 1728

上述代码用于设定与”http://www.example.com“进行跨域通信处理,允许使用 POST, GET, OPTIONS 方法,在发送的请求头中添加 X-CODE 字段,通信超时时间为1,728,00秒。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 一个开源的GUI原型工具,可用于所有平台。 Pencil的目的是提供一个免费的开源GUI原型工具,人们可以很容易地安装和使用它在流行的桌面平台上创建原型。 简单的GUI原型 Pencil提供了各种内置的形状集合,用于绘制从桌面到移动平台的不同类型的用户界面。从2.0.2开始,Pencil将预装And...
  • 在设计登录的模式时,会考虑到让SESSION能够独立于浏览器的行为,那也就是说不会因为关闭了浏览器导致会话失效,这个时候肯定优先使用数据库来存储SESSION相关的内容。 php的session是可以程序恢复的,这个和java不太一样。session的恢复机制可以实现多个应用程序session的共享...
  • 我们将直接通过几个例子来讲解。 grep abc test.txt 1>&2 rm -f $(find / -name test) &> /dev/null 上面两例中的 & 如何理解,& 不是放到后台执行吗? 案例分析: 1.&>file ...
  • 微软安全研究人员通过官方博客发出警告,为俄罗斯政府工作的黑客正利用各种物联网设备如打印机和视频解码器作为立足点渗透到目标的网络中。 一旦进入到网络,攻击者只需要简单执行网络扫描去寻找其它不安全的设备,发现更高权限的账号从而访问到更高价值的数据。微软研究人员是在今年四月发现利用物联网的攻击行动。 俄罗...
  • ORM,一键还原系统是一款全程傻瓜式操作的系统备份还原工具,其备份速度比GHOST还快,压缩率更出色,在相同的压缩率下,它的备份速度是GHOST的五倍。体积小巧功能强悍!支持所有主流Windows系统以及包括EFI/GPT硬盘在内的各种新旧硬件;它还自带简便的垃圾清理和开机加速功能。 软件特性: •...
微信扫一扫即可带走我!