1.Strict-Transport-Security

HTTP Strict-Transport-Security,简称为HSTS。

作用:允许一个HTTPS网站,要求浏览器总是通过HTTPS访问它。

strict-transport-security: max-age=16070400; includeSubDomains
  • includeSubDomains,可选,用于指定是否作用于子域名
  • 支持HSTS的浏览器遇到这个响应头,会把当前网站加入HSTS列表,然后在max-age指定的秒数内,当前网站所有请求都会被浏览器重定向为https。
  • Chrome内置了一个HSTS列表,默认包含Google、Paypal、Twitter、Linode等服务。输入chrome://net-internals/#hsts,进入HSTS管理界面,可以增加/删除/查询HSTS记录。

2.X-Frame-Options:是否允许一个页面可在<frame>、<iframe>、<object>中展现的标记。

作用:减少/避免点击劫持 (clickjacking) 的攻击。

使用方式如下:

x-frame-options: SAMEORIGIN

响应头支持三种配置:

  • DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
  • SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
  • ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。

3.X-XSS-Protection

作用:防范XSS攻击。

PS:这个是旧属性,基本上可以被CSP取代,但是仍可以为还没有支持CSP的浏览器提供一层保护。

主流浏览器默认都开启了XSS保护。

使用方式如下:

X-XSS-Protection: 1; mode=block; report=/_/http-sec-report

支持配置:

  • 0:禁止XSS保护
  • 1:启用XSS保护:启用XSS保护,浏览器检测到XSS攻击会自动过滤非安全部分内容
  • 1;mode=block:启用XSS保护,并在检测到XSS攻击的时候停止渲染页面
  • 1;report=:启用XSS保护,检测到XSS攻击的时候,浏览器会自动过滤非安全内容,同时上报到指定URI。

4.X-Content-Type-Options

作用:禁用浏览器的Content-Type猜测行为。

背景:

浏览器通常会根据响应头Content-Type字段来分辨资源类型。有些资源的Content-Type是错的或者未定义。这时,浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。

利用这个特性,攻击者可以让原本应该解析为图片的请求被解析为JavaScript。

使用方法:

X-Content-Type-Options: nosniff

5.X-Content-Security-Policy(旧版)/Content-Security-Policy

作用:用于定义页面可以加载哪些资源,减少和上报XSS的攻击,防止数据包嗅探攻击。

响应头:

  • Content-Security-Policy
  • X-Content-Security-Policy
  • X-Webkit-CSP

使用方法:

Content-Security-Policy: default-src 'self'
  • 一个策略由一系列策略指令组成,每个策略指令都描述了一个针对某个特定类型资源以及生效范围的策略。
  • default-src是CSP指令,多个指令之间使用英文分号分割;
  • self是指令值,多个指令值用英文空格分割。
  • 支持的CSP指令

元素也可以用于配置CSP:
```



指令 | 指令值示例 | 说明

--- | --- | ---

default-src | 'self' cnd.a.com | 定义针对所有类型资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。

script-src | 'self' js.a.com | 定义针对JavaScript的加载策略

style-src | 'self' css.a.com | 定义针对样式的加载策略

img-src | 'self' img.a.com | 定义针对图片的加载策略

connect-src | 'self' | 针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。

font-src | font.a.com | 针对WebFont的加载策略

object-src | 'self' | 针对\<object>、\<embed>、\<applet>等标签引入的flash等插件的加载策略

media-src | media.a.com | 针对\<audio>、\<video>等标签引入的HTML多媒体的加载策略。

frame-src | 'self' | 针对frame的加载策略

sanbox | allow-forms | 对请求的资源启用sandbox(类似于iframe的sandbox属性)

report-uri | /report-uri | 告诉浏览器如果请求不被策略允许,往哪个地址提交日志信息。如果想让浏览器只汇报日志,不阻止任何内容,可以改用 Content-Security-Policy-Report-Only 头。

指令值可以由下面内容组成:

指令值 | 指令值示例 | 说明

--- | --- | ---

  | img-src | 允许任何内容

 'none' | img-src 'none' | 不允许任何内容

 'self' | img-src 'self' | 允许来自相同源的内容(相同的协议、域名和端口)。

 data: | img-src data: | 允许data:协议(如base64编码的图片)

 www.a.com | img-src img.a.com | 允许加载指定域名的资源

 .a.com | img-src .a.com | 允许加载a.com任何子域的资源

 https://img.com | img-src https://img.com | 允许加载img.com的https资源

 https: | img-src https: | 允许加载https资源

 'unsafe-inline' | script-src 'unsafe-inline' | 允许加载inline资源(例如常见的style属性,onclick, inline js, inline css)。

 'unsafe-eval' | script-src 'unsafe-eval' | 允许加载动态js代码,例如eval()。

### 违例报告

* document-uri:发生违规的文档的URI。

* referrer:违规发生处的文档引用地址

* blocked-uri:被CSP阻止的资源URI。如果被阻止的URI来自不同的源而非文档URI,则被阻止的资源URI会被删减,仅保留协议、主机和端口号。

* violated-directive:违反的策略名称

* original-policy:在Content-Security-Policy HTTP header中指明的原始策略。

## 6.Set-Cookie

 * HttpOnly:防止使用javascript(如document.cookie)去存取cookie

 * Secure:强制cookie只能在HTTPS环境下传递

## 7.Referrer-Policy

作用:增加隐私保护。

可配置值:

* no-referrer: 不允许被记录

* origin:只记录origin,即域名

* strict-origin:只有在HTTPS->HTTPS之间才会被记录下来

* strict-origin-when-cross-origin:同源请求会发送完整的URL;HTTPS->HTTPS,发送源;降级下不发送此首部。

* no-referrer-when-downgrade(default):同strict-origin

* origin-when-cross-origin:对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。

* same-origin:对于同源请求会发送完整URL,非同源请求则不发送referer

* unsafe-url:无论是同源请求还是非同源请求,都发送完整的URL(移除参数信息之后)作为引用地址。(可能会泄漏敏感信息)

## 8.Public-Key-Pins(HPKP)

作用:防止中间人攻击。是HTTPS网站防止攻击者利用CA错误签发的证书进行中间人攻击的一种安全机制,用于预防CA遭入侵或者其他会造成CA签发未授权证书的情况。

服务器通过Public-Key-Pins(或Public-Key-Pins-Report-Onky用于监测)header向浏览器传递HTTP公钥固定信息。

基本格式:

Public-Key-Pins: pin-sha256="base64=="; max-age=expireTime [; includeSubdomains][; report-uri="reportURI"]

字段含义:

* pin-sha256:即证书指纹,允许出现多次,实际上应用最少指定两个;

* max-age:过期时间

* includeSubdomains:是否包含子域

* report-uri:验证失败时上报的地址

 安全扫描网站:https://securityheaders.com/

一些安全相关的HTTP header的更多相关文章

  1. 一些安全相关的HTTP响应头

    转:http://www.2cto.com/Article/201307/230740.html 现代浏览器提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码, ...

  2. 谈谈关于PHP的代码安全相关的一些致命知识

    谈谈关于PHP的代码安全相关的一些致命知识 目标 本教程讲解如何防御最常见的安全威胁:SQL 注入.操纵 GET 和 POST 变量.缓冲区溢出攻击.跨站点脚本攻击.浏览器内的数据操纵和远程表单提交. ...

  3. Nginx安全相关配置和nginx.conf中文详解

    一.centos下redis安全相关 1.背景 在使用云服务器时,如果我们的redis关闭了protected-mode模式,被病毒攻击的可能会大大增加,因此我们使用redis时候,最好更改默认端口, ...

  4. 安全相关的head头

    与安全相关的head头包括 参考网站:https://developer.mozilla.org/en-US/docs/Web/HTTP Content-Security-Policy(CSP):禁止 ...

  5. 【Azure 应用服务】App Service 通过配置web.config来添加请求返回的响应头(Response Header)

    问题描述 在Azure App Service上部署了站点,想要在网站的响应头中加一个字段(Cache-Control),并设置为固定值(Cache-Control:no-store) 效果类似于本地 ...

  6. RestTemplate发送请求并携带header信息

    1.使用restTemplate的postForObject方法 注:目前没有发现发送携带header信息的getForObject方法. HttpHeaders headers = new Http ...

  7. Web安全相关(二):跨站请求伪造(CSRF/XSRF)

    简介 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对 ...

  8. ABP Zero示例项目登录报错“Empty or invalid anti forgery header token.”问题解决

    ABP Zero项目,登录时出现如图"Empty or invalid anti forgery header token."错误提示的解决方法: 在 WebModule.cs的P ...

  9. ASP.NET MVC 3 网站优化总结(三)Specify Vary: Accept-Encoding header

    继续进行 ASP.NET MVC 3 网站优化工作,使用 Google Page 检测发现提示 You should Specify Vary: Accept-Encoding header,The ...

随机推荐

  1. deque源码1(deque概述、deque中的控制器)

    deque源码1(deque概述.deque中的控制器) deque源码2(deque迭代器.deque的数据结构) deque源码3(deque的构造与内存.ctor.push_back.push_ ...

  2. Java线程之 InterruptedException 异常

    Java线程之 InterruptedException 异常   当一个方法后面声明可能会抛出InterruptedException 异常时,说明该方法是可能会花一点时间,但是可以取消的方法. 抛 ...

  3. [java核心篇02]__内部类

    前言 其实我们在前面已经初步接触到内部类了,但是我们去对它的作用并不胜了解.只是简单的知道了类的定义也是可以嵌套的,定义在一个类里面的类就是内部类. class out{ private String ...

  4. Windows2008/2012/2016多用户同时远程连接终端服务授权

    win2016多用户登录: 添加角色“远程桌面服务”,子角色“远程桌面会话主机”和“远程桌面授权”,重启 远程桌面授权,激活服务器,企业协议,协议号6565792,授权模式“每用户” 本地策略管理器g ...

  5. windows关闭占用某端口的进程

    第一步:获取该端口进程PID 第二步:获取该PID进程映像名称 第三部:关闭进程

  6. 【转载】app测试的过程和重点关注内容

    针对 app测试的过程和重点关注内容,做以下梳理和总结:   1 . 首先是测试资源确认及准备 ( 1 ) 产品需求文档.产品原型图.接口说明文档以及设计说明文档等应齐全: ( 2 ) 测试设备及工具 ...

  7. [转&精]IO_STACK_LOCATION与IRP的一点笔记

    IO_STACK_LOCATION和IRP算是驱动中两个很基础的东西,为了理解这两个东西,找了一点资料. 1. IRP可以看成是Win32窗口程序中的消息(Message),DEVICE_OBJECT ...

  8. Spring中Bean的生命周期及其扩展点

    原创作品,可以转载,但是请标注出处地址http://www.cnblogs.com/V1haoge/p/6106456.html Spring中Bean的管理是其最基本的功能,根据下面的图来了解Spr ...

  9. Go基础系列:函数(1)

    Go中函数特性简介 对Go中的函数特性做一个总结.懂则看,不懂则算. Go中有3种函数:普通函数.匿名函数(没有名称的函数).方法(定义在struct上的函数). Go编译时不在乎函数的定义位置,但建 ...

  10. 翻译:非递归CTE(已提交到MariaDB官方手册)

    本文为mariadb官方手册:非递归CTE的译文. 原文:https://mariadb.com/kb/en/library/non-recursive-common-table-expression ...