利用 HTTP Security Headers 提升站点安全性

最新推荐文章于 2024-06-06 09:00:14 发布
最新推荐文章于 2024-06-06 09:00:14 发布
阅读量8.8k 收藏 7
点赞数 2
分类专栏: 安全 文章标签: HSTS 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myle69/article/details/83747018
版权

欢迎访问陈同学博客原文

产品不断迭代,安全却很少关注,这在小团队司空见惯吗? 前两天拿到一份站点的安全检测报告:

例举几点:

  • 你是否将 Mysql、Redis、Mongo 等端口暴露在公网?
  • 你是否采用 22、3306这种极易被扫描的默认端口?
  • 你是否强制使用 HTTPS?是否将HTTP重定向到了HTTPS?
  • 你是否设置了 HTTP Security Headers?

    还有检测不出来的,如果用了云服务器,是否禁用了root用户以密码登录?是否开启了安全组?…

本文整理几个 HTTP Security Header,属于图中的 Application Security部分。将用 nginx 来演示这些配置。通过文中材料链接可查看更详细的信息。

HTTP Security Header

检测报告提示:未遵守 X-Frame-OptionsX-XSS-ProtectionHSTSX-Content-Type-Options 的最佳实践,这几个都是 HTTP Response header。nginx 配置demo将在最下面给出。

X-Frame-Options

X-Frame-Options 用来告诉浏览器,页面能不能以 frame、 iframe、 object 形式嵌套在其他站点中,用来避免点击劫持(clickjacking)攻击。例如用下面代码将百度以 iframe 嵌入到自己的站点,然后监听 iframe 事件做些其他事情,用户如果不看URL估计以为自己在用百度。

<iframe src="https://www.baidu.com/" width="100%" height="100%" frameborder="no"></iframe>

可选值:

  • DENY:页面不允许在 frame 中展示
  • SAMEORIGIN:same origin,页面可以在相同域名页面的 frame 中展示
  • ALLOW-FROM uri:页面可以在指定来源的 frame 中展示

X-XSS-Protection

用于处理跨站脚本攻击 (XSS)。

可选值:

  • 0:禁止XSS过滤
  • 1:启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面中不安全的部分,但页面仍然可以访问。
  • 1;mode=block:启用XSS过滤。 如果检测到攻击,浏览器将直接阻止页面加载。

HSTS

HSTS(HTTP Strict Transport Security,RFC 6797) HTTP严格传输安全 ,指告诉浏览器自动从HTTP切换到HTTPS(当然,站点得支持HTTPS)。

举例说明,如下图(nginx 将http重定向到https):

  • 左边没加HSTS配置,301正常重定向,耗时 80ms ;

  • 右边配置了HSTS,浏览器利用cache,直接将HTTP转成了HTTPS,耗时 2ms,免去了重定向过程。

    状态从 301 变成了 307 Internal Redirect 即浏览器内部跳转。

X-Content-Type-Options

X-Content-Type-Options 用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,用于禁用了客户端的 MIME 类型嗅探行为。

当资源缺失 MIME 类型或设置了错误的 MIME 类型时,浏览器可能会通过查看资源来进行MIME嗅探。简单来说,就是如果浏览器不确定资源是什么,就会看看资源的内容,X-Content-Type-Options 就是让浏览器不要干这个事情。

可选值:

  • nosniff:sniff 即嗅探。

nginx 配置demo

HTTP Strict Transport Security (HSTS) and NGINX

通过nginx add_header 指令在 response 中添加如下header,可以根据需要调整。add_header 可以作用于nginx的 http、server、location。

server {

   listen 80;
   server_name chenyongjun.vip;

   location / {
		add_header X-Frame-Options "DENY";
		add_header X-Xss-Protection "1;mode=block";
		add_header X-Content-Type-Options "nosniff";
		add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
	}
}

关于Strict-Transport-Security:

  • max-age 必要,单位s,表示HSTS Header过期时间,通常设置为1年,即31536000秒。
  • includeSubDomains 可选,表示子域名是否开启HSTS保护。
  • preload 可选,如果需要将域名加入到浏览器内置列表才需配置
  • nginx 1.7.5 or NGINX Plus R5 以上支持这么写, add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;,always用于确保所有的response设置了该header

Spring Security

如果你使用了 Spring Security,默认会利用 HeaderWriterFilter 将上面的安全配置全部写入 response。

如果你想在流量入口统一做安全设置,可以禁用或调整应用中 Spring Security 配置。修改你自定义的 WebSecurityConfig

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 下面的所有实例代码都在这里
    }
}

修改配置

禁用 Secure Header

http.headers().disable();

禁用X-Frame-Options

其他选项不一一列出

http.headers().frameOptions().disable();

nginx 中剔除配置

如果应用中启用了 HTTP Secure Headers,但是最终返回的Response需要剔除某个配置。在不改代码前提下,可以通过nginx来剔除,例如从response中剔除X-Frame-Options配置:

proxy_hide_header X-Frame-Options;

小结

本文主要是想增长一丢丢安全意识,这些配置倒是次要的,还有更多的安全相关配置,需要时查查资料就好。

欢迎关注陈同学的公众号,一起学习,一起成长

cyjrun
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
httpHeaderSecurity.jar
08-29
tomcat7配置Web安全漏洞 之 X-Frame-Options响应头httpHeaderSecurity.jar
headers:捕获,搜索和分析HTTP安全头的应用程序
04-21
但是,事实是,该功能提供的多功能性和安全性可以帮助使Web应用程序更安全。建筑学依存关系MySQL 雷迪斯Python 3.6配置(仪表板|扫描仪) 编辑.env文件或设置环境变量: # general settings## scannerTHREAD_NUMBER...
Security Headers 安全
moonquake
02-21 1310
1)Content-Security-Policy CSP 内容安全策略 网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器 2)X-XSS-Protection XSS 攻击防护 0:禁用XSS保护; 1:启用XSS保护; 1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换); 3)X-Frame-Options ...
headers().frameOptions().disable()
最新发布
weixin_46233936的博客
06-06 383
spring-boot-starter-security
HTTP 安全响应头(Security Response header)配置
qq_42445433的博客
08-11 3423
HTTP 安全响应头(Security Response header)配置
HTTP Security Headers 说明
xgw的专栏
07-29 3026
简单说明一下相关header HTTP Security Headers的内容 X-XSS-Protection Content Security Policy HTTP Strict Transport Security(HSTS) HTTP Public Key Pinning(HPKP) X-Frame-Options X-Content-Type-Options Referer-Policy Cookie Options 1. X-XSS-Protection 用于处理跨站脚本攻击 (XSS)。 可
HTTP 安全响应头(Security Response header)配置手册
sysin | SYStem INside
12-09 1万+
HTTP 安全响应头(Security Response header)配置手册
渗透测试-HTTP Strict Transport Security
csdnhnma的博客
04-28 2409
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 0×01. Freebuf百科:什么是Strict-Transport-Security 我摘自owasp上的一段定义: HTTPStrictTransportSecurity(HSTS)isanopt-insecurityenhancementthatisspecifiedbyawebapplicat...
spring security 参考手册中文版
02-01
20.安全性HTTP响应头 154 20.1默认的安全头 154 20.1.1缓存控制 157 20.1.2内容类型选项 158 20.1.3 HTTP严格传输安全HSTS) 159 20.1.4 HTTP公钥密码(HPKP) 161 20.1.5 X-Frame-Options 163 20.1.6 X-XSS保护 ...
wp-secure-headers
02-27
标题“wp-secure-headers”和描述中的相同关键词暗示了这是一个与WordPress相关的插件,主要关注网站的安全性,特别是通过设置安全HTTP响应头来增强站点的保护。在Web开发中,HTTP响应头是服务器发送到浏览器的信息...
站点脚本编制问题解决
06-12
在Spring MVC框架下,我们可以利用Spring Security来增强应用程序的安全性。Spring Security是一个全面的安全框架,它提供了对XSS防御的支持。在`pom.xml`文件中,我们需要添加以下依赖: ```xml <groupId>org....
tomcat httpHeaderSecurity.jar
04-09
X-Frame-Options标头不包含在HTTP响应中以防止'ClickJacking'攻击 缺少X-Frame-Options头 缺少X-Content-Type-Options Header 未启用Web浏览器XSS保护 等的解决办法 在tomcat下的conf里的web.xml中增加以下过滤器 httpHeaderSecurity org.apache.catalina.filters.HttpHeaderSecurityFilter true antiClickJackingEnabled true antiClickJackingOption SAMEORIGIN httpHeaderSecurity /* 注意:tomcat8以下版本需要下载httpHeaderSecurity.jar这个包
使用Apache打造完美限制的HTTP下载服务器
09-15
除了以上措施,还可以结合其他Apache模块来增强安全性,例如使用mod_evasive防止DDoS攻击,或者使用mod_security进行更高级的请求过滤。另外,通过设置合适的缓存策略(如mod_expires和mod_headers),可以优化静态...
asp.net core下给网站做安全设置的方法详解
10-18
3. **Strict-Transport-Security (HSTS)**:告诉浏览器强制使用HTTPS来访问站点提升通信过程的安全性。 4. **X-XSS-Protection**:启用或禁用浏览器的跨站脚本过滤器。 5. **X-Content-Type-Options**:防止浏览器...
Server-Setup-MIME-Types-Headers:服务器设置的收集以及如何在不同的环境中进行设置
05-02
例如,通过设置`Content-Security-Policy`来增强安全性,或使用`Strict-Transport-Security`(HSTS)来强制HTTPS连接。 在不同环境下的响应头设置: - **Apache**:使用`Header`指令在`.htaccess`或`httpd.conf`中...
nginx 配置ssl 示例
03-25
`ssl_stapling`和`ssl_stapling_verify`开启OCSP Stapling,它能减少客户端的延迟并增强安全性。 `error_page`和`location`部分定义了当发生错误时,Nginx如何处理和显示错误页面。在这个例子中,如果发生500、502...
Missing HTTP Strict-Transport-Security Header (HSTS) 解决
weixin_33796177的博客
08-21 4715
HSTS简介 HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。 server { listen 443 ssl; server_name ww...
Web低危漏洞之HTTP Strict-Transport-Security缺失的处理
热门推荐
weixin_42715225的博客
09-10 1万+
前言 … … 漏洞呈现 解决 Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 示例 ... ... server { add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; prel
spring security使用iframe拒绝访问
hzyao的博客
02-17 1415
在拦截资源配置类下加如下代码: //iframe http.headers().frameOptions().disable();
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值