让你的web应用更安全

最新推荐文章于 2024-07-19 08:49:21 发布
最新推荐文章于 2024-07-19 08:49:21 发布
阅读量823 收藏
点赞数
分类专栏: 安全防护 文章标签: 安全
文/痕无落 
 

  • X-Frame-Options
  • Cookie of secure and httpOnly

设置X-Frame-Options

https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

X-Frame-Options 主要是为了防止点击劫持(clickjacking)
点击劫持(clickjacking)是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。
X-Frame-Options HTTP 头部字段用来指示传输的资源是否可以被包含在 <frame><iframe> 中,服务端可以声明这个策略来确保自己的网页内容不会被嵌入到其他的页面中.
X-Frame-Options 具有3个具体的值:

  • DENY
    表明网页内容不可以被嵌入到任何frame

  • SAMEORIGIN
    同源策略,声明网页内容可以被同一域下面的frame嵌入,但不能被不在同一域下面的frame嵌入.
    同源: 协议,域名和端口全部相同,即使是ip与域名对应,也认为是不同域下,
    下面说明了具体的情况,与: http://www.example.com/dir/page.html对比:

Compared URLOutcomeReason
http://www.example.com/dir/page2.html同源协议主机端口相同
http://www.example.com/dir2/other.html同源协议主机端口相同
http://username:password@www.example.com/dir2/other.html同源协议主机端口相同
http://www.example.com:81/dir/other.html不同源端口不同
https://www.example.com/dir/other.html不同源协议不同
http://en.example.com/dir/other.html不同源主机名不同
http://example.com/dir/other.html不同源主机不同,必须完全匹配
http://v2.www.example.com/dir/other.html不同源主机不同,必须完全匹配
http://www.example.com:80/dir/other.htmlDependsPort explicit. Depends on implementation in browser
  • ALLOW-FROM
    指定具体的来源

服务器配置

Apache

添加站点配置:

Header always append X-Frame-Options SAMEORIGIN

Nginx

添加 http , server 或者 location 配置

add_header X-Frame-Options SAMEORIGIN;

IIS

添加到站点的 Web.config

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

HAProxy

添加到 frontend, listen, 或者 backend 配置中:

rspadd X-Frame-Options:\ SAMEORIGIN

更安全的Cookie

Cookie 是浏览器储存在客户端的小的文本文件,用于客户端与服务器之间互传.
Web服务器通过指定 http headerSet-Cookie, 其结构如下:

Set-Cookie: name=value[; expires=date][; domain=domain][; path=path][; secure][; httpOnly]

可以看到,Cookie主要包含一下几个字段:

  • name
  • value
  • expire
  • domain
  • path
  • secure
  • httpOnly

这里主要讲securehttpOnly

httpOnly标识

用来告诉浏览器不能通过JavaScriptdocument.cookie 来访问 cookie, 目的是避免 跨站脚本攻击 (XSS)

secure标识

强制应用通过Https来传输 Cookie

PHP Yii2中设置Cookie的 httpOnly 和 secure

设置 _csrf

Yii2中的 Cookie yii\web\Cookie默认是 httpOnly的, 

class Cookie extends \yii\base\Object
{ 
    public $name;
    public $value = '';
    public $domain = '';
    public $expire = 0;
    public $path = '/';
    public $secure = false;
    public $httpOnly = true;
}

使用 <?= Html::csrfMetaTags() ?> 就会生成一个 name=_csrf Cookie, 默认是 httpOnly, 通过注入request来改变:

config/main.php

    ...
    'components' => [
        'request' => [
            'csrfCookie' => [
                'httpOnly' => true,
                'secure'   => SECURE_COOKIE,
            ],
        ],
    ...
    ]
    ...

注入 csrfCookie 的 httpOnly 和 secure 属性值

生成secure的 Cookie

$cookies = Yii::$app->response->cookies;
$cookies->add(new Cookie([
    'name' => 'accesstoken', 
    'value' => $accessToken, 
    'expire' => time() + Token::EXPIRE_TIME, 
    'secure' => SECURE_COOKIE
    ])
);

注意更新 Cookie 的时候也需要更新 secure 属性

$cookies = Yii::$app->request->cookies;
if (($cookie = $cookies->get('accesstoken')) !== null) {
    $cookie->secure = SECURE_COOKIE;
    // 这里很重要, 不然就会丢失
    $cookie->expire = time() + Token::EXPIRE_TIME;
    Yii::$app->response->cookies->add($cookie);
}
7禧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全-Web安全协议
A soul tortured by desire
09-16 5654
大家上网娱乐或办公总是离不开浏览器,也就是从web端访问各个网站,其安全的重要性与其使用的广泛性成正比。本文就web端常见的相关安全协议分享。
浅谈Web应用系统的安全
01-19
web本意是蜘蛛网和网的... 当你想进入万维网上一个网页, 或者其他网络资源的时候,通常你要首先在你的浏览器上键入你想访问网页的统一资源定位符(Uniform Resource Locator),或者通过超链接方式链接到那个网页或网络资
提高Web程序安全性的17种方法
追梦痴人(ASP,C#,DotNet)
01-22 2325
                          提高Web程序安全性的17种方法1.做程序规划时,把不同的文件类型放入不同的文件夹,如htm页放入Static文件夹,asp页放入Dynamic文件夹,inc及,mdb类型放入Include文件夹,以便对不同文件夹,设置不同的访问权限2.设计数据库时,把不同的信息存入不同数据库中。这样即使其中一个数据库被攻破,保存在其它数据库中的信息还是安全的3
Web应用十大安全漏洞
weixin_52281518的博客
01-28 5047
Web应用十大安全漏洞 开放Web应用程序安全项目通过调查,列出了对Web应用的危害较大的10个安全问题,也是业界集中关注最严重的问题。主要包括:未验证参数、访问控制缺陷、账户及会话管理缺陷、跨网站脚本漏洞、缓冲区溢出、命令注入漏洞、错误处理问题、密码学使用不当、远程管理漏洞、Web服务器及应用服务器配置不当. 未验证参数:Web请求返回的信息没有经过有效性验证就提交给Web应用程序使用。攻击者可以利用返回信息中的缺陷,包括URL、请求字符串、cookie头部、表单项,隐含参数传递代码攻击运行Web程...
Web理论篇】Web应用程序安全与风险
只有不断学习才不会被茫茫人海淹没!
04-19 6800
📢前言 ✅✅博客主页: 花城的包包 🔊🔊欢迎关注🔎点赞👍收藏⭐️留言📝 🔥🔥本文收录于黑客攻防技术全栈系列专栏:30天黑客攻防技术从入门到精通.后续将陆续新,敬请期待! 📃📃此专栏是专门针对想入门网络安全领域的小白,计划用一个月完! -🚀🚀 一个人可以走得很快,一群人可以走得远!快加入我和我一起学习吧! 📧📧只有不断学习才能不被茫茫人海淹没! 💪💪如发现错误,请评论区留言轰炸我,万分感谢! 目录📢前言🌲1.Web应用程序的发展历程🍂1.1 Web应用程序的常见功能🍂1.2 Web应用程序的优.
Web服务安全架构——一、Web应用程序基础理论
热门推荐
钟言的博客
12-10 1万+
本篇为学习Web安全结构的第一篇,Web应用程序基础理论。详细内容包含了引言 Web应用程序的生成过程程序员是如何开发Web应用程序的1、Web程序的分层结构 2、各司其职的程序员 3、研究 Web 应用程序的利器 3.1 黑盒测试类工具 3.2 白盒测试类工具 四、小结等等。
公网Web应用系统安全问题
liuxinzhi1982的专栏
10-21 2717
1. 常见攻击行为 1.1.端口扫描 演示端口扫描工具nmap
网站安全防护方案--WEB应用防火墙
dexunyun的博客
01-18 4080
安全是网站的重要组成部分。在当今互联网信息时代,网站建设是一件非常普遍的事情,大部分用户一般也是选择使用云服务器来架设自己的公司网站。伴随着互联网的高速发展,网络攻击也随之频发,网络安全问题愈发被用户重视。 网络黑客对网站的攻击让很多企业头疼,因为一般云服务器也就是几个G的防护,基本防护不够,没什么防御能力的,一旦遭受攻击,就会瞬间瘫痪。我们都知道,对于网站类的,有个8秒定律,即用户访问一个网站时,如果等待网页打开的时间超过8秒,会有超过30%的用户放弃等待。因此,一旦网站遭受攻击,间接性的就会流失不少用
web应用存在的10大安全问题
zhusongziye的博客
11-04 9232
 1 在web应用程序中是什么导致安全性问题呢?一般有以下几个原因 1、复杂应用系统代码量大、开发人员多、难免出现疏忽 2、系统屡次升级、人员频繁变,导致代码不一致 3、历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上 4、开发人员未经过安全编码培训或者公司根本就没有统一的安全编码规范 5、测试人员经验不足或者没经过专业的安全评估测试就发布上线 6、没有对用户的输入进行验证: ...
【网络安全Web应用程序的工作原理
等风来
08-27 7342
Web应用程序是一种通过网络(通常是互联网)访问的、具有交互性和动态功能的软件应用。与普通网页相比,Web应用程序具有以下区别:1.Web应用程序通过与用户进行双向通信,实现了高级的交互性。用户可以与应用程序进行数据输入、提交表单、执行操作等,而不仅仅是被动地查看静态内容。Web应用程序可以根据用户的输入和行为动态地响应和改变。2.Web应用程序能够根据用户的请求和服务器端的处理,在客户端动态生成内容。相比之下,普通网页是静态的,其内容在服务器上预先生成,并以相同的形式发送给所有用户。3.
Web 应用安全发展的介绍
Wang的专栏
03-27 1983
也叫Web应用安全,互联网本身是安全的,自从有了研究安全的人之后,互联网就变得不安全了。
Web应用系统的安全性设计
10-24
探讨了Web应用系统的安全问题,阐述了防火墙技术、身份验证技术、ASP.NET程序安全性设计、数据加密技术等实现Web应用系统安全性设计的技术。
信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.pdf
08-12
"信息安全技术Web应用安全检测系统安全技术要求和测试评价方法" 根据提供的文件信息,吾可以总结出以下知识点: 1. Web应用安全检测的重要性:随着互联网的普及和web应用的普及,Web应用安全检测变得日益重要。Web...
web安全应用入门.docx
11-29
Web 安全应用入门 Web 安全应用入门的知识点可以总结如下: Web 服务安全模型 * Web 服务安全模型是由微软和 IBM 共同定义的,以 WS-Security 规范为核心,保证了 SOAP 消息的安全性。 * 该模型引入了一个由各个...
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 816
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1076
区分不同的签名。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 662
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
邮件安全篇:邮件端到端加密S/MIME
最新发布
sdexcel的专栏
07-19 1007
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值