与安全相关的head头包括

参考网站:https://developer.mozilla.org/en-US/docs/Web/HTTP

Content-Security-Policy(CSP):禁止调用其他网站的资源

Strict-Transport-Security(HSTS):http访问的用户,重定向为https

X-Content-Type-Options(XCTO):ie浏览器中文档类型自动判断功能

X-XSS-Protection(XSS Filter):ie的防浏览器中阻止XSS攻击的配置

X-Frame-Options(XFO):限制<iframe>标签

CSP:

This document defines a mechanism by which web developers can control the resources which a particular page can fetch or execute, as well as a number of security-relevant policy decisions.

参考网址

首先,上官网:http://w3c.github.io/webappsec-csp/

之后,中文网址:http://open.chrome.360.cn/extension_dev/contentSecurityPolicy.html#H2-0

https://linux.cn/article-5848-1.html(这个网页的设置说明很详细)

https://developer.mozilla.org/zh-CN/docs/Web/Security/CSP/CSP_policy_directives

之后,中文博客:http://www.2cto.com/Article/201307/230739.html

配置方法:

HttpServletResponse res = (HttpServletResponse) arg1; res.setHeader("Content-Security-Policy", "default-src 'self';script-src 'self' 'unsafe-inline';style-src 'self' 'unsafe-inline'");

或者

<meta http-equiv="Content-Security-Policy" content="default-src 'self';script-src 'self' 'unsafe-inline'  'unsafe-eval';style-src 'self' 'unsafe-inline' 'unsafe-eval'">

'unsafe-eval'
允许使用 eval() 等通过字符串创建代码的方法。两侧单引号是必须的。

HSTS

参考网址 https://linux.cn/article-5266-1.html

简介: HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。

这是在服务器上配置的.

XCTO

参考网址 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options http://blog.sina.com.cn/s/blog_6cda35350102vvr6.html

简介 ie的文档类型自动判断功能

配置 X-Content-Type-Options:nosniff 选项来关闭IE的文档类型自动判断功能。

XXP
参考网址 https://blogs.msdn.microsoft.com/ieinternals/2011/01/31/controlling-the-xss-filter/
http://www.2cto.com/article/201506/406232.html
简介
X-XSS-Protection is a HTTP header understood by Internet Explorer 8 (and newer versions).
This header lets domains toggle on and off the "XSS Filter" of IE8, which prevents some categories of XSS attacks.
IE8 has the filter activated by default, but servers can switch if off by setting
配置方式
X-XSS-Protection: 1; mode=block
0 – 关闭对浏览器的xss防护 1 – 开启xss防护 1; mode=block – 开启xss防护并通知浏览器阻止而不是过滤用户注入的脚本。
1; report=http://site.com/report – 这个只有chrome和webkit内核的浏览器支持,这种模式告诉浏览器当发现疑似xss攻击的时候就将这部分数据post到指定地址。

X-Frame-Options(XFO)

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame><iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

参考网址:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

X-Frame-Options 有三个值:

DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

另外,在<meta>中设置是不好用的

根据实际测试,在apache中设置如下:

1.把LoadModule headers_module modules/mod_headers.so前面的#去掉

2.加入

<IfModule headers_module>
Header set X-Frame-Options: DENY
</IfModule>

官方配置如下:

直接在httpd.conf里添加

Header always append X-Frame-Options DENY

实际测试发现,

<IfModule headers_module>
Header set X-Frame-Options: DENY
</IfModule>更好用一些,

而用官方的配置时,经常会出现head中没添加上的情况

其他的以后陆续补充

安全相关的head头的更多相关文章

  1. 一些安全相关的HTTP响应头

    转:http://www.2cto.com/Article/201307/230740.html 现代浏览器提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码, ...

  2. Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

    为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击.点击劫持 (ClickJacking. frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面.为此一直都在搜寻相关防 ...

  3. WEB安全防护相关响应头(下)

    前篇"WEB安全防护相关响应头(上)"中,我们分享了 X-Frame-Options.X-Content-Type-Options.HTTP Strict Transport Se ...

  4. 关于 Web 安全,99% 的网站都忽略了这些

    Web安全是一个如何强调都不为过的事情,我们发现国内的众多网站都没有实现全站https,对于其他安全策略的实践更是很少,本文的目的并非讨论安全和攻击的细节,而是从策略的角度引发对安全的思考和重视. 1 ...

  5. Spring Cloud Gateway入坑记

    Spring Cloud Gateway入坑记 前提 最近在做老系统的重构,重构完成后新系统中需要引入一个网关服务,作为新系统和老系统接口的适配和代理.之前,很多网关应用使用的是Spring-Clou ...

  6. HTTP1.1协议-RFC2616-中文版课前资料收集

    1.http rfc大致讲了什么? 2.解决了什么问题? HTTP协议描述的是发送方与接收方的通信协议 协议功能: HTTP协议(HyperText Transfer Protocol,超文本传输协议 ...

  7. HTTP1.1协议-RFC2616-中文版

    转自:http://www.cnblogs.com/k1988/archive/2010/01/12/2165683.html 说明 本文档规定了互联网社区的标准组协议,并需要讨论和建议以便更加完善. ...

  8. ZigBee安全相关

    ZigBee安全由AES加密算法和CCM操作方式作为安全方案,广泛使用在ZigBee联盟的通信协议中.ZDO层负责安全策略和安全配置的管理. Technorati 标签: ZigBee 安全 2. 配 ...

  9. 谈谈关于PHP的代码安全相关的一些致命知识

    谈谈关于PHP的代码安全相关的一些致命知识 目标 本教程讲解如何防御最常见的安全威胁:SQL 注入.操纵 GET 和 POST 变量.缓冲区溢出攻击.跨站点脚本攻击.浏览器内的数据操纵和远程表单提交. ...

随机推荐

  1. Django框架基础知识07-常用查询及表关系的实现

    1.常用的模型字段类型 https://docs.djangoproject.com/en/2.1/ref/models/fields/#field-types 2.字段的常用参数 官方文档:http ...

  2. linux下solr5.0.0环境搭建

    1解压 linux下解压命令 tar -zxvf solr-5.0.0.tgz 2启动 linux 系统 直接切换solr-5.0.0\bin 文件夹 执行 solr star -p 8983 (如果 ...

  3. pwntools使用简介3

    连接 本地process().远程remote().对于remote函数可以接url并且指定端口. IO模块 下面给出了PwnTools中的主要IO函数.这个比较容易跟zio搞混,记住zio是read ...

  4. C语言 NULL 是什么鬼

    NULL , 0 , '\0'  之间的区别与联系 1.NULL 结构体的使用中,都可以用NULL表示空,那么NULL是什么 #ifndef __cplusplus #define NULL ((vo ...

  5. 大数据学习——yum练习安装mysql

    1. 安装mysql 服务器端: yum install mysql-server yum install mysql-devel 2. 安装mysql客户端: yum install mysql 3 ...

  6. lr函数之lr_eval_string()函数的使用学习

    lr_eval_string() 函数的主要作用:返回脚本中的一个参数当前的值(从参数中取得对应的值,并且转换为一个字符串). 格式:lr_eval_string("{参数名}") ...

  7. 数据库连接 Mysqli

    //数据库连接 Mysqli $db= new Mysqli("localhost","root","root","asd_808 ...

  8. [NOIP1999] 普及组

    回文数 /*By SilverN*/ #include<algorithm> #include<iostream> #include<cstring> #inclu ...

  9. BZOJ1696: [Usaco2007 Feb]Building A New Barn新牛舍

    n<=10000个点(xi,yi),找到一个不同于给出的所有点的点,使得该点到所有点的曼哈顿距离最小并找出这样的点的个数. 第一眼看上去这不是中位数嘛,奇数一个点偶数一片,然后找一下这篇区域有几 ...

  10. POJ3233:Matrix Power Series

    对n<=30(其实可以100)大小的矩阵A求A^1+A^2+……+A^K,K<=1e9,A中的数%m. 从K的二进制位入手.K分解二进制,比如10110,令F[i]=A^1+A^2+……+ ...