应用安全系列之二十:HTTP协议安全

已于 2023-04-24 11:32:02 修改
阅读量1k 收藏 2
点赞数
分类专栏: Security 文章标签: http 安全 前端
于 2021-03-18 14:40:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/114941933
版权

本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。

HTTP协议是一种无状态的协议,为了能够保持会话和使用的方便,引入了Cookie,这带来使用上的方便的同时,也引入的安全隐患,为了消除或者减轻一些安全隐患,HTTP提供了一些Header或者Header的属性用于提高安全,本章节主要是介绍一些常用的协议头以及属性的作用,以及如何正确使用。

HTTPonly

        HTTPonly 使用于保护Cookie的属性,如果将Cookie的HTTPOnly属性设为true,就可以组织Javascript读取Cookie。

Secure

        Secure是用于保护Cookie的另外一个属性,保证Cookie只能被随着HTTPS协议的消息一起发送,而不会随着HTTP协议发送,保证Cookie在传输过程中的安全。

SameSite

        SameSite是新添加的一个属性,主要是用于预防CSRF,有3个取值None,Strict和Lax。

属性取值说明
SameSiteStrictCookie只会被同一站点背景的请求发送
LaxCookie会被同一站点的请求发送,也会跨站顶级跳(top-level navigations)转请求被发送。
NoneCookie会随着第三方站点的发送的本站点的请求发送

X-Frame-Option

        HTTP 响应报头可以被用来指示一个浏览器是否应该被允许嵌入在一个以显示页面的标签里显示时, 例如,<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击。X-Frame-Options 有三个值如下:

属性取值说明
X-Frame-Options DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。

Content-Security-Policy (CSP) 

        配置内容安全策略涉及到添加 Content-Security-Policy  HTTP头部到一个页面,并配置相应的值,以控制用户代理(浏览器等)可以为该页面获取哪些资源,可以设置页面图片、媒体数据、脚本的数据来源。内容安全策略   (CSP) 是用于削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等,主要是协助网站预防内容被污染。例如:以下设置只允许加载本站点的资源:

Content-Security-Policy: default-src 'self'

 还可以通过img-src、media-src以及script-src制定具体某种资源的来源:

Content-Security-Policy: default-src 'self'; img-src 'self'; media-src 'self'; script-src 'self'

 在每一个资源的后面可以指定信任的域名,来加载某个网站的资源。

通过这个设置,就可以避免网站在遭受XSS攻击时,页面被篡改,

Google的设置示例如下:

HSTS=HTTP Strict Transport Security

     HTTP Strict Transport Security(通常简称为HSTS)它的功能就是控制浏览器只能通过HTTPS访问当前资源,而不是HTTP,这样可以防止网络嗅探攻击。主要用法如下:

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

在设置max-age时,建议设置为1年,如下:

Strict-Transport-Security: max-age=31536000; includeSubDomains

X-XSS-Protection

       X-XSS-Protection可在检测到跨站点脚本(XSS)攻击时阻止页面加载,通常检测到,浏览器都会弹出警告框提示可能存在XSS攻击,目前,Chrome、IE和Safari支持,其他的浏览器还不支持。设置的示例如下:

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

 0: 禁止XSS过滤.
1  启用 XSS 过滤(通常在浏览器中默认):如果检测到跨站点脚本攻击,浏览器将清理页面(删除不安全的部分)。也可以通过一项两个选项进一步设置检测到XSS时的行为:
          mode = block 检测到XSS时,浏览器将阻止页面的显示,而不是仅仅过滤页面中的导致XSS的部分内容。
          report = <reporting-URI>(仅Chromium支持), 检测到XSS时,浏览器将清理页面并报告违规行为,使用 CSP report-uri指令的功能发送报告。

CORS (Cross-Origin Resource Sharing,跨域资源共享)

       由于受到同源策略的影响,站点被不允许从其它站点加载资源,但是,在某些情况下,又需要从某些站点加载资源。CORS就是用于控制跨站访问的。CORS的Header如下:

属性Header说明
CORSAccess-Control-Allow-Origin指示请求的资源能共享给哪些域。
Access-Control-Allow-Credentials指示当请求的凭证标记为 true 时,是否响应该请求。
Access-Control-Allow-Headers用在对预请求的响应中,指示实际的请求中可以使用哪些 HTTP 头。
Access-Control-Allow-Methods指定对预请求的响应中,哪些 HTTP 方法允许访问请求的资源。
Access-Control-Expose-Headers指示哪些 HTTP 头的名称能在响应中列出。
Access-Control-Max-Age指示预请求的结果能被缓存多久。
Access-Control-Request-Headers用于发起一个预请求,告知服务器正式请求会使用那些 HTTP 头。
Access-Control-Request-Method用于发起一个预请求,告知服务器正式请求会使用哪一种 HTTP 请求方法。

         设置的示例如下:

Access-Control-Allow-Origin: https://www.example.com
Access-Control-Allow-Methods: POST, GET, HEAD

       常用的是Access-Control-Allow-Origin,强烈建议不要设为为*。

X-Content-Type-Options

      微软在 IE 8 中引入了这个头文件,作为网站管理员阻止正在发生的内容嗅探的一种方式,并且可以将不可执行的 MIME 类型转换为可执行的 MIME 类型,一般建议禁用此功能。设置的值如下:

X-Content-Type-Options: nosniff

Cache-Control

    可以通过设置Cache-Control头,防止敏感信息被浏览器缓存。

属性取值说明
Cache-Controlno-store告诉浏览器不缓存任何内容,每次都需要去服务器访问
no-cache英文解释是:A cache will send the request to the origin server for validation before releasing a cached copy. 关于no-cache的实现不同的浏览器可能会不同,FireFox会依然缓存,而IE、Chrome会不缓存,所以一般都选择同时设置no-store和no-cache。
max-age缓存的内容将在多少秒后失效
private客户端可以缓存(默认)
public客户端和代理服务器都可缓存
must-revalidate浏览器在使用本地资源之前必须检查是否过期

关于Cache-Control的设置,可以参考Google的设置如下:

                                                    

关于禁止缓存,很多站点都会设置Pragma:no-cache,跟Cache-Control: no-cache相同。只不过Pragma: no-cache兼容http 1.0 ,Cache-Control: no-cache是http 1.1提供的。因此,Pragma: no-cache可以应用到http 1.0 和http 1.1,而Cache-Control: no-cache只能应用于http 1.1。 可能Pragma在将来某个某个时间点被废弃。

如果有不妥之处,希望可以留言指出。谢谢!

参考:

Content Security Policy - OWASP Cheat Sheet Series

https://hostway.com/creating-top-level-navigation/#:~:text=Top%2Dlevel%20navigation%20is%20generally,to%20www.adaptivepath.com. 

https://medium.com/@arcagarwal/same-site-changes-in-chrome-1c86973454f9

内容安全策略(CSP) - HTTP | MDN

Strict-Transport-Security - HTTP | MDN

X-XSS-Protection (Headers) - HTTP 中文开发手册 - 开发者手册 - 腾讯云开发者社区-腾讯云

Cross-Origin Resource Sharing (CORS) - HTTP | MDN

HTTP caching - HTTP | MDN

X-Content-Type-Options - [ HTTP 中文开发手册 ] - 在线原生手册 - php中文网

jimmyleeee
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
HTTP安全协议详细整理《图解HTTP
qq_29191321的博客
10-10 1587
一、HTTP的缺点 HTTP 主要有这些不足, 例举如下。 通信使用明文(不加密) , 内容可能会被窃听 不验证通信方的身份, 因此有可能遭遇伪装 无法证明报文的完整性, 所以有可能已遭篡改 这些问题不仅在 HTTP 上出现, 其他未加密的协议中也会存在这类问题。 1.1 通信使用明文可能会被窃听 上图是HTTP基于TCP/IP协议的访问请求过程。其实,在互联网中的任何通信线路上的数据,都有...
以太网安全技术系列之:TLSec基于证书的鉴别协议分析
07-10
西电捷通公司从网络底层协议安全入手研发出以太网安全技术—TLSec,它通过引入在线可信第三方实现请求者和控制器的双向身份鉴别,保证合法用户接入合法网络。本文通过网络数据包捕获的方式,对TLSec技术体系中基于...
Http协议中Cookie详细介绍
weixin_30448685的博客
03-19 586
Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久Cookie。 HTTP请求+co...
【计算机网络】http协议的原理与应用https是如何保证安全传输的
最新发布
景天科技苑
03-29 1万+
超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP是万维网的数据通信的基础。 HTTP的发展是由蒂姆·伯纳斯-李于1989年在欧洲核子研究组织(CERN)所发起。 HTTP的标准制定由万维网协会(World Wide Web Consortium,W3C)和互联网工程任务组(Internet Engineering Task Force,IETF)进行协调, 最终发布了一系列的RFC。
网络安全HTTP协议
无言道的博客
01-21 1418
URL:网络具体地址 域名解析: 1、浏览器缓存 2、系统缓存ipconfig/flushdns 3、host文件DNS服务器地址:host文件 4、dns服务器 DNS服务器8.8.8.8 114.114.114.114 什么是超文本HyperText? 包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。最常克的超文本格式是超文本标记语言HTML。 1xx 通知信息 100=服务器正在处理客户请求] 2xx 成功 200=请求成功(OK)
网络安全HTTP协议
胡乱写点什么
02-26 869
HTTP协议 学习HTTP协议过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 文章目录HTTP协议请求方法1.GET2.POST3.HEAD4.OPTIONS/PUT/DELETE/TRACE/CONNEXT 请求方法 1.GET 2.POST 3.HEAD 4.OPTIONS/PUT/DELETE/TRACE/CONNEXT HTTP1.1新增的五种请求方法。 ...
安全HTTP协议HTTPS
qq_49353940的博客
07-21 680
安全HTTP协议HTTPS HTTPS,是安全版本的http协议 S:SSL为数据通信提供安全支持 1.客户端发送请求–>ssl层加密—>服务器接收到加密文件–>SSL层解密,得到请求明文,对请求做处理 2.服务器发送响应—>SSL层加密—>客户端得到加密文件—>ssl层解密,得到响应明文,解析执行响应内容 ...
HTTP协议安全
Carroll的博客
08-30 2104
文章目录HTTPSSSL/TLSHTTPS的优化 什么样的通信过程才是安全的呢? 通常认为,如果通信过程具备了四个特性,就可以认为是“安全”的,这四个特性是:机密性、完整性,身份认证和不可否认。 HTTPS HTTPS 名字里的“S”,它把 HTTP 下层的传输协议由 TCP/IP 换成了 SSL/TLS,由“HTTP over TCP/IP”变成了“HTTP over SSL/TLS”,让 HTTP 运行在了安全的 SSL/TLS 协议上,收发报文不再使用 Socket API,而是调用专门的安全
信息安全技术:TCP协议.pptx
11-01
TCP(Transmission Control Protocol,传输控制协议)是互联网协议栈中非常重要的一层,它是基于IP协议的上层协议,为应用层提供可靠、面向连接的数据传输服务。TCP确保了数据的准确无误地传输,通过一系列机制保证...
Web应用安全:主流浏览器.pptx
06-18
Web应用安全是一个重要的议题,尤其是在当今数字化社会中,人们日常生活中大部分活动都在网络上进行。主流浏览器作为Web应用的重要载体,其安全性直接影响到用户的隐私和数据安全。以下将详细探讨几种主流浏览器及其...
工控安全职业证书技能实践:常见工控协议介绍.pptx
07-12
它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议。 S7协议概述 S7协议可以基于客户端(Client)/服务器(Server)的单边通信,也可以基于伙伴(Partner)/伙伴(Partner)的双边通信...
计算机网络安全技术:使用web应用防火墙保护网站.pdf
05-12
Web 应用防火墙是通过执行一系列针对HTTP/HTTPS 的安全策略来 专门为Web 应用提供保护的一款产品。对于Web 应用系统的漏洞,可以使 用WAF ,进行安全防护。 WAF 工作在web 服务器之前,对基于HTTP 协议的通信进行...
HTTP安全-nonce和timestamp在Http安全协议中的作用
jboss123的专栏
03-26 281
http://www.byywee.com/page/M0/S591/591082.html 写道 前段时间给客户网站做新浪微博账号登录功能,对OAuth协议以及相关的一些安全协议做了一些研究,顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了,而是针对OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名)这些参数的作用做一下总结。 ...
如何将cookie中httponly属性设置为true?(预防XSS攻击)
刘桂香263的博客
06-08 5526
在 cookie 中设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。
Cookie属性之secure、httponly
weixin_44843710的博客
12-02 1232
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie的属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookie的secure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1715
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie。
IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应头
热门推荐
崔向阳@李晓的博客
12-06 2万+
一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss。现在,只有IE,chrome和safari(webkit)支持这个header。 正确的设置 0 – 关闭对浏览器的xss防护 1 – 开启xss防护 1; mode=block – 开启...
HTTP 协议详解
兴趣是最好的老师,勤能补拙
05-09 9161
HTTP 协议全称为 Hypertext Transfer Protocol,即超文本传输协议,是互联网上应用最为广泛的一种网络传输协议。HTTP 协议定义了客户端(Browser)与服务器之间的通信规范,以实现对各种资源(如 HTML 页面、图像、音频、视频等)的传输和访问。本文将全面详细的描述 HTTP 协议的相关内容,包括协议的基本概念、请求响应流程、报文结构、状态码、安全性等方面。
Spring中使用拦截器配置HttpOnly,来提升WEB应用程序的安全
Iqingshuifurong的博客
10-28 3987
最近安全检测,出现浏览器漏洞HttpOnly. 简单介绍两种解决方案,及 相关知识 1)Xss攻击预防-Spring中使用拦截器配置HttpOnly 2)Xss攻击预防-tomcat配置文件中添加httponly属性 3)HTTP-only Cookie缓解XSS简介 4)SpringMVC-处理器拦截器(HandlerInterceptor)详解 一、Xss攻击预防,Spring中使...
详细的物联网安全应用安全概述
06-12
物联网安全应用安全主要是保护物联网中的应用程序和数据处理过程的安全,具体包括以下几个方面: 1.应用程序安全 应用程序安全是指对物联网中的应用程序进行安全保护的技术,主要包括代码安全、数据安全和权限控制等方面。代码安全是指对应用程序的代码进行安全检测和审查,防止恶意代码的注入。数据安全是指对应用程序中的数据进行加密和访问控制,确保数据的安全性。权限控制是指对应用程序中的用户和设备进行身份验证和访问控制,只允许授权的用户和设备进行访问。 2.身份认证和授权 身份认证和授权是指对物联网中的用户和设备进行身份验证和授权,只允许合法用户和设备进行访问。身份认证技术包括密码认证、生物特征认证和多因素认证等。授权技术包括角色授权、属性授权和访问控制等。 3.数据加密和隐私保护 数据加密和隐私保护是指对物联网中的数据进行加密和隐私保护,以确保数据传输和处理过程的安全性。数据加密是指对数据进行加密,以防止数据被窃取或篡改。隐私保护是指对数据进行脱敏和匿名化处理,以保护用户的隐私。 4.安全协议和机制 安全协议和机制是指在物联网中使用的一系列安全协议和机制,包括SSL、TLS、SSH等安全传输协议,以及PKI、数字签名等安全机制。这些协议和机制可以保障物联网中的数据传输和处理过程的安全性。 5.安全审计和监测 安全审计和监测是指对物联网中的安全事件进行审计和监测,以及对安全事件进行及时响应。安全审计和监测技术包括安全日志记录、安全事件监测、安全漏洞扫描等,可以发现和防范潜在的安全威胁。 综上所述,物联网安全应用安全主要包括应用程序安全、身份认证和授权、数据加密和隐私保护、安全协议和机制,以及安全审计和监测等技术手段,以确保物联网中的应用程序和数据处理过程的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值