Spring-Security对HTTP相应头的安全支持

最新推荐文章于 2024-06-06 09:00:14 发布
最新推荐文章于 2024-06-06 09:00:14 发布
阅读量1.1w 收藏 3
点赞数 2
分类专栏: spring-security 文章标签: springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niugang0920/article/details/79827872
版权

Spring Security支持在响应中添加各种安全头,默认相应安全头:

 

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

虽然这些头文件都被认为是最佳实践,但应该注意的是,并不是所有的客户机都使用了header。

 

基于Java的配置如下:

 

@EnableWebSecurity
public class WebSecurityConfig extends
		WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
			// ...
			.headers()
				.frameOptions().sameOrigin()
				.httpStrictTransportSecurity().disable();
	}
}
public class WebSecurityConfig extends
		WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
			// ...
			.headers()
				.frameOptions().sameOrigin()
				.httpStrictTransportSecurity().disable();
	}
}

如果不想用默认值可禁用,添加显示要用的响应安全头

 

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers()
		//除非明确列出,否则不要使用任何默认标题。
		.defaultsDisabled()
		.cacheControl();
}
}
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers()
		//除非明确列出,否则不要使用任何默认标题。
		.defaultsDisabled()
		.cacheControl();
}
}

如果有必要,你可以禁用所有的HTTP安全响应头

 

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers().disable();
}
}
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers().disable();
}
}

       在过去的Spring Security中,您需要为您的web应用程序提供自己的缓存控制。这在当时似乎是合理的,但是浏览器缓存已经进化到包含安全连接的缓存。这意味着用户可以查看经过身份验证的页面,注销,然后恶意用户就可以使用浏览器历史来查看缓存页面。为了帮助减轻这个Spring安全性,已经添加了缓存控制支持,它将在您的响应中插入以下头部。

禁用其他安全头,启用缓存安全头:

 

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers()
		.defaultsDisabled()
		.cacheControl();
}
}
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers()
		.defaultsDisabled()
		.cacheControl();
}
}

如果你真的想要缓存特定的反应,您的应用程序可以选择性地调用 HttpServletResponse.setHeader(String,String) 覆盖头部Spring Security的设置。为了保证CSS,JavaScript之类的东西是用的并且图像正确缓存。

 

@EnableWebMvc
public class WebMvcConfiguration implements WebMvcConfigurer {

	@Override
	public void addResourceHandlers(ResourceHandlerRegistry registry) {
		registry
			.addResourceHandler("/resources/**")
			.addResourceLocations("/resources/")
			.setCachePeriod(31556926);
	}

	// ...
}
public class WebMvcConfiguration implements WebMvcConfigurer {

	@Override
	public void addResourceHandlers(ResourceHandlerRegistry registry) {
		registry
			.addResourceHandler("/resources/**")
			.addResourceLocations("/resources/")
			.setCachePeriod(31556926);
	}

	// ...
}

内容类型选项

      历史上的浏览器,包括Internet Explorer,试图想请求的内容类型使用 content sniffing。这就使得浏览器通过猜测来改善用户体验的内容类型没有指定内容类型的资源。例如,如果一个浏览器遇到一个JavaScript文件,该文件没有指定的内容类型,它会猜内容类型,然后执行它。

       content sniffing的问题是,这允许恶意用户使用polyglots(即一个文件,是作为多种内容类型有效)来执行XSS攻击。例如,某些网站可能会允许用户提交一个有效的PostScript文档到网站,并查看它。恶意用户可能会创建一个 postscript文件,这也是一个有效的JavaScript文件 并用它执行XSS攻击

通过添加以下content sniffing可以禁用我们的响应头

 

X-Content-Type-Options: nosniff

HTTP Strict Transport Security (HSTS)

      当你输入你的银行的网站,你输入mybank.example.com 或者你输入 https://mybank.example.com 如果您省略https协议,你可能容易受到 中间人攻击。即使网站执行重定向到 https://mybank.example.com 恶意用户能够拦截最初的HTTP请求和操作响应(即重定向到 https://mibank.example.com 和窃取他们的凭证)。

    许多用户忽略了https协议,这就是为什么要创建HTTP严格传输安全性(HSTS)的原因。一旦mybank.example.com被添加为HSTS主机,浏览器就可以提前知道对mybank的任何请求。example.com应该被解释为https://mybank.example.com。这大大减少了发生中间攻击的可能性。

将站点标记为HSTS主机的一种方法是将主机预加载到浏览器中。另一种是将"Strict-Transport-Security"头添加到响应。例如,以下将指示浏览器把域作为一年的HSTS主机(一年有大约31536000秒):
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
可选includeSubDomains指令指示Spring安全子域(即secure.mybank.example.com)也应该被视为一个 HSTS域。

只启用HSTS在Java Configuration:

 

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers()
		.httpStrictTransportSecurity()
			.includeSubdomains(true)
			.maxAgeSeconds(31536000);
}
}
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers()
		.httpStrictTransportSecurity()
			.includeSubdomains(true)
			.maxAgeSeconds(31536000);
}
}

X-Frame-Options

允许给你的网站添加框架可能存在安全问题。例如,使用巧妙的CSS样式用户可能会被欺骗点击的东西,他们不打算 (video demo)。 例如,登录到他们的银行用户可能会点击一个按钮授予其他用户访问。这种攻击被称为 Clickjacking.

 


有很多方法可以减轻点击劫持攻击。例如,为了保护传统浏览器不受clickjacking攻击,您可以使用框架破坏代码。虽然不完美,但是框架破坏代码是您为遗留浏览器所能做的最好的事情。

解决点击劫持更先进的方法是使用 X-Frame-Options 头:
X-Frame-Options: DENY

 

 

 

 

X-Frame-Options指示浏览器阻止在响应中在框架内呈现的任何站点。默认情况下,Spring Security在iframe中禁用呈现。

你可以定制X-Frame-Options和 frame-options 元素。 例如,以下将指示Spring Security用 "X-Frame-Options: SAMEORIGIN" 允许iframes在同一个域:

 

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers()
		.frameOptions()
			.sameOrigin();
}
}
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	// ...
	.headers()
		.frameOptions()
			.sameOrigin();
}
}

 

 

 

 X-XSS-Protection

一些浏览器支持过滤掉反射的XSS攻击。这绝不是万无一失的,但确实有助于XSS的保护。

默认情况下,过滤通常是启用的,因此添加header通常只会确保启用它,并指示浏览器在检测到XSS攻击时要做什么。例如,过滤器可能试图以最小的入侵方式改变内容,以使所有内容都呈现出来。有时,这种类型的替换本身就会成为XSS的弱点。相反,最好是屏蔽内容,而不是试图修复它。为此,我们可以添加以下header:

<span style="color:#333333">X-XSS-Protection: 1; mode=block</span>

 

自定义java配置XSS保护

<span style="color:#333333"><em><span style="color:#808080">@EnableWebSecurity</span></em>
<strong>public</strong> <strong>class</strong> WebSecurityConfig <strong>extends</strong>
WebSecurityConfigurerAdapter {

<em><span style="color:#808080">@Override</span></em>
<strong>protected</strong> <strong>void</strong> configure(HttpSecurity http) <strong>throws</strong> Exception {
	http
	<em>// ...</em>
	.headers()
		.xssProtection()
			.block(false);
}
}</span>

微信公众号

                          

 

保持理智,相信未来
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http安全
NxxCalm的博客
05-01 418
https://www.keycdn.com/blog/http-security-headers https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection https://developer.mozilla.org/en-US/docs/Web/HTT.
spring-security静态资源
09-25
为了提高性能,Spring Security 支持缓存静态资源。你可以通过设置响应,如`Cache-Control`,来控制浏览器如何缓存这些资源。这可以通过自定义`HttpSecurity`配置实现。 5. **CORS(跨源资源共享)** 如果你的...
HTTP响应处理。网页嵌套问题、http缓存设置
qq_41635401的博客
11-10 980
HTTP响应处理 HTTP响应中的许多属性都可以用来提高Web安全。我们来看一下Spring Security中提供显示支持的一些HTTP响应 Spring Security默认情况下 显式支持HTTP相应主要有以下几种: Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff Strict-Transport-
headers().frameOptions().disable()
最新发布
weixin_46233936的博客
06-06 360
spring-boot-starter-security
Spring Security Config : HttpSecurity安全配置器 HeadersConfigurer
Details Inside Spring
06-09 5582
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,HeadersConfigurer的配置任务如下 : 配置如下安全过滤器Filter HeaderWriterFilter HeadersConfigurer自己内置定义了一组特定部的配置类并允许使用者配置,这些配置类每个其实对应一个相应部写入器HeaderWriter。除此之外,Headers...
Spring SecurityHeaderWriterFilter(八)
欢谷悠扬
07-08 1160
1.作用 这个主要是个response写安全响应信息的。 默认主要包含五个信息 第一个:org.springframework.security.web.header.writers.XContentTypeOptionsHeaderWriter 信息:X-Content-Type-Options=nosniff 作用: 这个是帮助script 和 styleSheet 元素拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 第二个:org.spr
4个常用的HTTP安全
真理部
02-26 1121
它曾是世界性图书馆梦的开始,现在它是全球知识的聚集地,它是目前最流行的,人们将应用都部署之上的万维网。 它是敏捷的代表,它不是单一的实体,它由客户端和服务端组成,它的功能在不断地强大,它还有标准。 虽然越来越多的解决方案非常适用于发现什么可行,什么不可行,但它几乎没有一致性,没有易于应用的编程模型。俗话说的好:事情越简单,越安全。简单的事物很难有像XSS,CSRF或点击挟持的漏洞。
springsecurity安全验证
qq_43021189的博客
08-09 704
Security
spring-security-demo:Spring安全学习演示
05-27
此外,Spring Security支持CSRF(跨站请求伪造)防护,这是现代Web应用的一个重要安全特性。在"spring-security-demo"中,可能会有相应的配置来启用和配置CSRF保护,以及如何在表单提交中正确处理CSRF令牌。 ...
spring-boot-security
07-16
Spring Boot Security是一个强大的工具,它集成了Spring Security框架,使得在Spring Boot应用中实现安全控制变得简单高效。Spring Security是一个全面的、可高度定制的安全框架,适用于Java Web应用程序,包括认证...
spring-security_examples:Spring 安全示例
06-18
Spring Security 支持访问控制表达式(ACEs)、角色、权限和安全元数据等。项目可能展示了如何使用 `@Secured`、`@PreAuthorize`、`@PostAuthorize` 注解进行方法级别的访问控制,以及如何配置 URL 模式的访问规则。...
x-frame-options
05-12
x-frame-options x-frame-options旁路 安装方式 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe src =" http://localhost:3000?url=https://example.com/ " > </ iframe > 演示版
X-Frame-Option.rar
09-15
解决“Clickjacking: X-Frame-Options header missing”漏洞,亲测可用
spring-security:Spring安全测试项目
06-20
6. 国际化支持Spring Security支持多语言环境,可以根据用户的选择显示相应的错误消息和提示。 7. 整合Spring Boot:如果项目是基于Spring Boot,那么Spring Security的配置可以通过`@EnableWebSecurity`和`...
HSTS详解
喵叫兽的博客
09-27 6682
1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示。 图1:服务器和浏览器在背后帮用户做了很多工...
Nginx配置Http响应安全策略
热门推荐
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
Nginx与安全有关的配置
icanflying的博客
12-03 5187
​​​​​​ 添加黑白名单 白名单配置 location /admin/ { allow 192.168.1.0/24; deny all; } 上边表示只允许192.168.1.0/24网段的主机访问,拒绝其他所有 也可以写成黑名单的方式禁止某些地址访问,允许其他所有,例如 location /ops-coffee/ { deny 192.168.1.0/24; allow all; } 更多的时候客户端请求会经过层层代理,我们
Spring Boot 出现 in a frame because it set ‘X-Frame-Options‘ to ‘DENY‘
tarenadjq的专栏
08-25 682
spring boot项目中出现不能加载iframe 页面报一个"Refused to display ‘http://......‘ in a frame because it set ‘X-Frame-Options‘ to ‘DENY‘."错误 解决方式: 因spring Boot采取的java config,在配置spring security的位置添加: #解决frame 不能使用 http.headers().frameOptions().disable(); http..
SSO单点登录实战:Spring-Security与CAS整合指南
为了扩展认证方式,如使用JDBC进行数据库验证,需要对CASServer进行相应的配置。此外,还可以自定义CASServer的界面,以满足特定的品牌或UI需求。 部署SpringSecurity应用同样关键。首先,需要做好前期准备,比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值