与http头安全相关的安全选项

由于HTTP是一个可扩展的协议，各浏览器厂商都率先推出了有效的头部，来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么，掌握如何应用，可以提高系统的安全性。 下面就简单介绍一下这些安全头的含义以及效果。

X-Frame-Options

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>,<iframe> 或者 <object> 中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。X-Frame-Options有三个值，分别是：DENY、SAMEORIGIN、ALLOW-FROM

DENY：表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN：表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM：表示该页面可以在指定来源的 frame 中展示。

换一句话说，如果设置为 DENY，不光在别人的网站 frame嵌入时会无法加载，在同域名页面中同样会无法加载。另一方面，如果设置为SAMEORIGIN，那么页面就可以在同域名页面的 frame 中嵌套。

配置Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头，需要把下面这行添加到 'site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置nginx

配置 nginx 发送 X-Frame-Options 响应头，把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

配置IIS

配置 IIS 发送 X-Frame-Options 响应头，添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...</system.webServer>

X-Content-Type-Options

互联网上的资源有各种类型，通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如：”text/html”代表html文档，”image/png”是PNG图片，”text/css”是CSS样式文档。然而，有些资源的Content-Type是错的或者未定义。这时，某些浏览器会启用MIME-sniffing来猜测该资源的类型，解析内容并执行。

例如，我们即使给一个html文档指定Content-Type为”text/plain”，在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性，攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。通过下面这个响应头可以禁用浏览器的类型猜测行为：

X-Content-Type-Options: nosniff

这个值固定为 nosniff

Access-Control-Allow-Origin

跨原始资源共享（CORS）允许网站在他们之间共享内容。为了使网站之间安全的跨域获取资源，可以通过设置Access-Control-Allow-Origin来允许指定的网站来跨域获取本地资源。

简单解释

只有当目标页面的response中，包含了 Access-Control-Allow-Origin 这个header，并且它的值里有我们自己的域名时，浏览器才允许我们拿到它页面的数据进行下一步处理。如：

Access-Control-Allow-Origin: http://www.myh0st.net

如果它的值设为 * ，则表示谁都可以用：

Access-Control-Allow-Origin: *

在生产环境中大家都不会使用*，因为这个是非常不安全的。

X-XSS-Protection

X-XSS-Protection 响应头是Internet Explorer，Chrome和Safari的一个功能，当检测到跨站脚本攻击(XSS)时，浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的，当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript('unsafe-inline')时,他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。

参数解释

X-XSS-Protection: 0

禁止XSS过滤。

X-XSS-Protection: 1

启用XSS过滤（通常浏览器是默认的）。如果检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。

X-XSS-Protection: 1; mode=block

启用XSS过滤。 如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。

X-XSS-Protection: 1; report=<reporting-uri>

启用XSS过滤。 如果检测到跨站脚本攻击，浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。

HTTP Strict Transport Security (HSTS)

HTTP 严格传输安全（HSTS）是一种安全功能，web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯，而不是使用 HTTP。

HSTS使 Web 服务器告知浏览器绝不使用 HTTP 访问，在浏览器端自动将所有到该站点的 HTTP 访问替换为 HTTPS 访问。

如何设置

参见：https://linux.cn/article-5266-1.html

Content Security Policy

Content Security Policy是一个计算机的安全标志，主要用来防止跨站脚本请求（XSS）、点击劫持和代码注入攻击。CSP通过定义允许加载脚本的位置和内容来防止恶意代码的加载。

基本用法

CSP由HTTP头的Content-Security-Policy来定义（旧版本为X-Content-Security-Policy），每个HTTP请求最多返回一个CSP头部（多个重复的CSP策略将取并集）。CSP头部的格式为：

Content-Security-Policy: policy

其中，policy参数时一个描述CSP策略指令的字符串。一个policy由两部分组成，名称（约束策略范围）和值（允许脚本执行的路径）。多个Policy间使用逗号分隔。Policy的值由多个源表达式（source-expression）组成，每个源表达式可以是主机、端口、关键字和Base64编码的hash值。

一个常见的CSP头如下图所示：

Self在这里属于源表达式中的关键字类型，代表仅允许链接本地文件，因此通过CSP头成功阻止JavaScript代码的执行：

Alert(1)未执行，并在console中输出CSP禁止加载脚本的信息。

下面给出CSP每个策略的名称所约束的范围：

总结

本文简单介绍了一下关于http header的几个安全选项，有什么不对的地方以及不全的地方可以留言补充，指出来，让我们共同学习成长。