http strict-transport-curity,简称为hsts。
作用:允许一个https网站,要求浏览器总是通过https访问它。
strict-transport-curity: max-age=160704小猪进城00; includesubdomainsincludesubdomains,可选,用于指定是否作用于子域名支持hsts的浏览器遇到这个响应头,会把当前网站加入hsts列表,然后在max-age指定的秒数内,当前网站所有请求都会被浏览器重定向为https。chrom5年级寒假作业答案e内置了一个hsts列表,默认包含google、paypal、twitter、linode等服七彩盒务。输入chrome://net-internals/#hsts,进入hsts管理界面,可以增加/删除/查询hsts记录。
作用:减少/避免点击劫持 (clickjacking) 的攻击。
使用方式如下:
x-frame-options: sameorigin
响应头支持三种配置:
deny:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin:表示该页面可以在相同域名页面的 frame 中展示。allow-from uri:表示该页面可以在指定来源的 frame 中展示。作用:防范xss攻击。
ps:这个是旧属性,基本上可以被csp取代,但是仍可以为还没有支持csp的浏览器提供一层保护。
主流浏览器默认都开启了xss保护。
使用方式如下:
x-xss-protection: 1; mode=block; report=/_/http-c-report
支持配置:
0:禁止xss保护1:启用xss保护:启用xss保护,浏览器检测到xss攻击会自动过滤非安全部分内容1;mode=block:启用xss保护,并在检测到xss攻击的时候停止渲染页面1;report= :启用xss保护,检测到xss攻击的时候,浏览器会自动过滤非安全内容,同时上报到指定uri。作用:禁用浏览器的content-type猜测行为。
背景:
浏览器通常会根据响应头content-type字段来分辨资源类型。有些资源的content-type是错的或者未定义。这时,浏览器会启用mime-sniffing来猜测该资源的类型,解析内容并执行。
利用这个特性,攻击者可以让原本应该解析为图片的请求被解析为javascript。
使用方法:
x-content-type-options: nosniff
作用:用于定义页面可以加载哪些资源,减少和上报xss的攻击,防止数据包嗅探攻击。
响应头:
content-curity-policy x-content-curity-policyx-webkit-csp使用方法:
content-curity-policy: default-src 'lf'一个策略由一系列策略指令组成,每个策略指令都描述了一个针对某个特定类型资源以及生效范围的策略。default-src是csp指令,多个指令之间使用英文分号分割;lf是指令值,多个指令值用英文空格分割。支持的csp指令
元素也可以用于配置csp:
<meta http-equiv="content-curity-policy" content="default-src 'lf'; img-src https://*; child-src 'none';">
指令值可以由下面内容组成:
作用:增加隐私保护。
可配置值:
no-referrer: 不允许被记录origin:只记录origin,即域名strict-origin:只有在https->https之间才会被记录下来strict-origin-when-cross-origin:同源请求会发送完整的url;https->https,发送源;降级下不发送此首部。no-referrer-when-downgrade(default):同strict-originorigin-when-cross-origin:对于同源的请求,会发送完整的url作为引用地址,但是对于非同源请求仅发送文件的源。same-origin:对于同源请求会发送完整url,非同源请求则不发送refererunsafe-url:无论是同源请求还是非同源请求,都发送完整的url(移除参数信息之后)作为引用地址。(可能会泄漏敏感信息)作用:防止中间人攻击。是https网站防止攻击者利用ca错误签发的证书进行中间人攻击的一种安全机制,用于预防ca遭入侵或者其他会造成ca签发未授权春节高速免费几天证书的情况。
服务器通过public-key-pins(或public-key-pins-report-onky用于监测)header向浏览器传递http公钥固定信息。
基本格式:
public-key-pins: pin-sha256="ba64=="; max-age=expiretime [; includesubdomains][; report-uri="reporturi"]
字段含义:
pin-sha256:即证书指纹,允许出现多次,实际上应用最少指定两个;max-age:过期时间includesubdomains:是否包含子域report-uri:验证失败时上报的地址安全扫描网站:
本文发布于:2023-04-03 12:19:03,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/ae3873f75aa97b914f314398b13d491a.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:一些安全相关的HTTP header.doc
本文 PDF 下载地址:一些安全相关的HTTP header.pdf
留言与评论(共有 0 条评论) |