HTTP 请求头安全方案

最新推荐文章于 2023-10-22 11:02:36 发布
最新推荐文章于 2023-10-22 11:02:36 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: 架构 文章标签: http 安全 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35040959/article/details/128664777
版权

请求头安全性

1. X-Content-Type-Options(内容嗅探)

过去,浏览器(包括 Internet Explorer)会尝试使用内容嗅探来猜测请求的内容类型。 这允许浏览器通过猜测未指定内容类型的资源上的内容类型来改善用户体验。 例如,如果浏览器遇到未指定内容类型的 JavaScript 文件,它将能够猜测内容类型,然后运行它。
内容嗅探的问题在于,这允许恶意用户使用多语言(即,作为多种内容类型有效的文件)来执行 XSS 攻击。 例如,某些网站可能允许用户向网站提交有效的 postscript 文档并查看它。 恶意用户可能会创建一个 postscript 文档,该文档也是一个有效的 JavaScript 文件,并对其执行 XSS 攻击。

# 关闭内容嗅探
X-Content-Type-Options: nosniff
2. Strict-Transport-Security(HSTS)

目前HTTPS网站存在下面弱点:

  1. 当用户在浏览器中输入www.baidu.com,浏览器默认会将访问http://www.baidu.com,而不是https://www.baidu.com。将由服务器将http请求重定向到https,但这将消耗服务器的性能资源。
  2. 当HTTPS网站中使用的是自签名证书(或者不在浏览器的证书信任列表中),浏览器会发出网站存在安全风险警告,但不会中止HTTPS网站访问,并询问用户是否信任该证书,继续访HTTPS网站。

安全风险由用户决定。我们fiddler抓取HTTPS网站时,网站的证书已经被fifdler截获,而此浏览器中显示的证书,为fiddler创建的证书,所以也会报警告(也叫中间人攻击)。
通过设置HSTS可以消除上面的威胁。那HSTS是如何做到的呢?需要服务器和客户端(浏览器)如何配合呢?

参数意思:在172800秒内,浏览器只要再向百度或其子域名发送HTTP请求时,由浏览器自动转成HTTPS来发起连接。这样可以减少服务器重定向的处理和被中间人截获请求的风险。

# 开启HSTS(允许子域)
strict-transport-security: max-age=15552000; includeSubDomains
3. X-Frame-Options(点击劫持)

让您的网站添加到框架中可能是一个安全问题。 例如,通过使用巧妙的CSS样式,用户可能会被诱骗点击他们不想要的东西。 例如,登录到其银行的用户可能会单击向其他用户授予访问权限的按钮。 这种攻击被称为点击劫持。

  1. DENY 表示文件無論如何都不能被嵌入到 frame 中,即使是自家網站也不行。
  2. SAMEORIGIN 唯有當符合同源政策下,才能被嵌入到 frame 中。
  3. ALLOW-FROM uri 唯有列表許可的 URI 才能嵌入到 frame 中。

解决点击劫持问题的现在解决方法是使用 X-Frame-Options 标头。 默认情况下:

# 無論如何都不能被嵌入到 frame 
X-Frame-Options: DENY
4. X-XSS-Protection(xss过滤)

某些浏览器内置支持过滤掉反射的 XSS 攻击。 该过滤器已在主要浏览器中弃用,当前的 OWASP 建议是将标头显式设置为 0。
X-XSS-Protection有四种语法:

  1. X-XSS-Protection : 0 表示禁用 XSS 过滤这个功能
  2. X-XSS-Protection : 1 表示启用 XSS 过滤
  3. X-XSS-Protection : 1; mode=block 如果检测到攻击,浏览器不会像上面的选项一样将不安全的部分删除,而是直接阻止整个页面的加载
  4. X-XSS-Protection : 1; report= 如果检测到跨站脚本攻击,浏览器会清除在页面上检测到的不安全的部分,并使用report-uri的功能 POST 一个 XSS 警报。这个功能只有在 Chrome 中有效果,在 IE 中无效。
# 发现xss攻击停止加载页面
x-xss-protection: 1; mode=block
5. Content-Security-Policy(CSP内容安全策略)

内容安全策略 (CSP) 是 Web 应用程序可用于缓解内容注入漏洞(如跨站点脚本 (XSS))的一种机制。 CSP 是一种声明性策略,它为 Web 应用程序作者提供了一种工具,用于声明并最终通知客户端(用户代理)有关 Web 应用程序期望从中加载资源的源。

内容安全策略并非旨在解决所有内容注入漏洞。 相反,您可以使用 CSP 来帮助减少内容注入攻击造成的危害。 作为第一道防线,Web 应用程序作者应验证其输入并对其输出进行编码。

Web 应用程序可以通过在响应中包含以下 HTTP 标头之一来使用 CSP:
script-src

# 不检查该域名下的脚本资源
Content-Security-Policy: script-src https://trustedscripts.example.com

report-uri

# report-uri: 发现异常加载资源后调用report-uri接口提供异常调用数据(json格式)
Content-Security-Policy: script-src https://trustedscripts.example.com; report-uri /csp-report-endpoint/

Content-Security-Policy-Report-Only

# 如果站点违反此策略,则会将违规报告发送到指令指定的声明 URL,但仍允许加载违规资源
Content-Security-Policy: script-src https://trustedscripts.example.com; report-uri /csp-report-endpoint/
6. Referrer-Policy(来历政策)

引荐来源网址策略是 Web 应用程序可用于管理来源网址字段的一种机制,其中包含最后一个用户所在的页面。
参考文档

协议描述
no-referrer最简单的策略是no-referrer(无引用者),它指定不会将来源信息与来自任何源的特定信息请求客户端。referrer 将是完全省略。
no-referrer-when-downgrade会发送完整的网址以及来自受TLS保护的环境设置的请求配置 ,以及来自不受 TLS 保护的客户端对任何源的请求。另一方面,从受 TLS 保护的客户端到非潜在可信 URL的请求将不包含 referrer 信息。HTTP 请求头Referer
same-origin指定 完整的 URL(剥离以用作referrer来源网址)将作为 从特定客户端发出同源请求时的referrer信息。另一方面,跨源请求将不包含 referrer信息。HTTP 请求头不会带有referrer
origin指定仅将请求客户端源的 ASCII 序列化作为引用信息发送,在从特定客户端发出同源请求和跨源请求时。
strict-origin从受 TLS 保护的环境设置对象到可能可信的 URL,以及从不受 TLS 保护的环境设置对象到 任何来源,会发送。从受 TLS 保护的请求客户端到非潜在可信 URL 的请求将不包含 referrer 人信息。HTTP 请求头referrer
origin-when-cross-origin指定完整的 URL(剥离以用作引荐来源网址)将作为 从特定请求客户端发出同源请求时的引荐来源信息,并且从特定客户端发出跨源请求时,仅将请求客户端源的 ASCII 序列化作为引荐来源信息发送 。
strict-origin-when-cross-origin指定 完整的 URL(剥离以用作引荐来源网址)将作为 从特定请求客户端发出同源请求时的引用信息,以及发出跨源请求时仅请求客户端源的 ASCII 序列化:从受 TLS 保护的环境设置对象到可能可信的 URL,以及从不受 TLS 保护的环境设置对象到 任何来源。另一方面,从受 TLS 保护的客户端到非潜在可信 URL的请求将不包含 推荐人信息
unsafe-url指定将发送一个完整的网址(剥离以用作引荐来源网址)与 跨源请求和同源请求均来自 特定客户端。
# 如果站点违反此策略,则会将违规报告发送到指令指定的声明 URL,但仍允许加载违规资源
Referrer-Policy: same-origin
7. Feature-Policy(功能策略)

功能策略是一种机制,允许 Web 开发人员有选择地启用、禁用和修改浏览器中某些 API 和 Web 功能的行为。

# 定位功能限制
Feature-Policy: geolocation 'self'

借助功能策略,开发人员可以选择加入一组“策略”,以便浏览器对整个网站中使用的特定功能强制执行。 这些策略限制站点可以访问哪些 API,或修改浏览器对某些功能的默认行为。

8. Permissions-Policy(权限策略)

权限策略是一种机制,允许 Web 开发人员有选择地启用、禁用和修改浏览器中某些 API 和 Web 功能的行为。

# 定位功能限制
Permissions-Policy: geolocation=(self)

借助权限策略,开发人员可以选择加入一组“策略”,以便浏览器对整个网站中使用的特定功能强制执行。 这些策略限制站点可以访问哪些 API,或修改浏览器对某些功能的默认行为。

9. Clear-Site-Data(清除站点数据)

清除站点数据是一种机制,当 HTTP 响应包含以下标头时,可以通过该机制删除任何浏览器端数据(cookie、本地存储等):

# 清空数据
Clear-Site-Data: "cache", "cookies", "storage", "executionContexts"

这是一个很好的清理操作,可以在注销时执行。

不学会Ⅳ
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web 安全Permissions Policy(权限策略)详解
m0_59598029的博客
02-26 1458
Permissions Policy 为 web开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。
Http请求头安全策略
weixin_30663471的博客
09-27 439
今天在网上浪了许久,只是为了找一个很简单的配置,却奈何怎么都找不到。 好不容易找到了,我觉得还是记录下来的好,或许省得许多人像我一样浪费时间。 1.X-Frame-Options 如果网站可以嵌入到IFRAME元素中,则攻击者可以在社交场合设计一种情况,即受害者被指向攻击者控制的网站,该网站构成目标网站的框架。然后攻击者可以操纵受害者在目标网站上不知不觉地执行操作。即使有跨站点请求伪造保护,...
[译] 如何使用 HTTP Headers 来保护你的 Web 应用
weixin_33929309的博客
04-18 151
原文地址:How To Secure Your Web App With HTTP Headers 原文作者:Hagay Lupesko 译文出自:掘金翻译计划 译者:bambooom 校对者:xunge0613、lsvih 如何使用 HTTP Headers 来保护你的 Web 应用 众所周知,无论是简单的小网页还是复杂的单页应用,Web 应用都是网络攻击的目标。2016 年,这种最主要...
使用HTTP Headers防御WEB***
weixin_33682790的博客
08-01 69
简介在用户会话中Cookies是一个十分重要的东西,一个身份验证的Cookies就相当于是密码。保卫这些身份验证的Cookies是一个十分重要的话题。在本文中,我们将演示如何在PHP应用中执行某些Cookies属性从而在某些***中保护我们的Cookies。使用HTTP Header保护Cookies这是一个已知的事实,跨站脚本***是一个十分危险的漏洞,其能够让***者从用...
【什么是特性策略/权限策略(feature policy/Permissions-Policy)?】
Hey_Coder
05-23 3109
特性策略(feature policy/Permissions-Policy)的简介 1. 什么是 特性策略(feature policy/Permissions-Policy)?(设置 对功能的权限) 2. 如何写 一个 feature policy(语法规则)? 3. 如何在使用中 设置特性策略(使用方法)? ⑴ HTTP header 的 Feature-Policy ⑵ iframe 中的 allow 属性 4. 嵌入内容的 策略的继承 5. 需要的显式禁用的特性(为了良好用户体验)
C++发送HTTP请求的实现代码
09-04
在C++编程中,发送HTTP请求通常用于与Web服务器交互,获取或提交数据。...通过理解以上知识点,你可以构建更复杂的C++应用程序,进行更高级的HTTP交互,如POST请求、处理HTTP头、管理Cookie以及处理异步请求。
iOS中多网络请求的线程安全详解
08-29
本文将深入探讨如何在iOS环境中有效地处理多网络请求的线程安全问题,并介绍几种常见的解决方案及其优缺点。 首先,我们可以使用`DispatchGroup`来管理多个网络请求。`DispatchGroup`是GCD(Grand Central Dispatch...
Flutter中http请求抓包的完美解决方案.docx
10-26
Flutter 中 http 请求抓包是移动应用开发中非常重要的一个环节,抓包可以帮助开发者更好地了解 App 的网络请求行为,从而优化应用程序的性能和安全性。然而,在 Flutter 中抓包 http 请求却出现了问题,即使用 ...
Angular使用$http.jsonp发送跨站请求的方法
10-20
发送跨站请求,以及可能遇到的问题和解决方案。 首先,JSONP的工作原理是:客户端(浏览器)向服务器发送一个请求,请求中包含一个回调函数名,服务器接收到请求后,将数据包装在这个回调函数中,并以JavaScript...
医院网络安全建设方案实战
08-28
安全事件监控是医院网络安全建设方案实战的重要组成部分,旨在实时监控信息系统的安全状态,快速响应、解决突发故障及请求,确保信息系统的安全保护能力。 六、应急措施 应急措施是医院网络安全建设方案实战的重要...
Nginx配置Http响应头安全策略
最新发布
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
几个“HTTP 请求头”告警处理
虫虫的博客
09-23 2634
给NC搬了个家,发现又是一堆警告,都是HTTP响应头相关的,不太影响使用,但对于强迫症来说,不解决一下怎么行 一些老旧的告警解决方法之前都写过了,见这里:https://bugxia.com/?s=nextcloud+后台+警告 HTTP请求头 “Strict-Transport-Security” 未设置为至少 “15552000” 秒。 HTTP 请求头 “X-Content-Type-Options” 没有配置为 “nosniff”。这是一个潜在的安全或隐私风险,我们建议您调整这项设置。 HT
WEB项目HTTP HEADER常见的安全漏洞
m0_37049740的博客
03-12 2572
WEB项目中有些常见的漏洞,是大家都没注意到或者不了解的。这当中涉及了前后端程序设计的安全问题,也有HTTP 报文头的常见漏洞,如XSS等。这里梳理一些常见的漏洞,给大家做说明与提供一套解决方案
Permission Policies
weixin_30649859的博客
07-27 143
The Permission Policy determines Security System behavior when there are no explicitly specified permissions for a specific type, object or member. The default permission policy can be selected w...
HTTP报文详解
lvwenwen
06-28 5973
文章链接:http://www.iteye.com/topic/1124408 引用 学习Web开发不好好学习HTTP报文,将会“打拳不练功,到老一场空”,你花在犯迷糊上的时间比你沉下心来学习HTTP的时间肯定会多很多。 HTTP请求报文解剖 HTTP请求报文由3部分组成(请求行+请求头+请求体):  下面是一个实际的请求报文:  ①是请求方法,GET和POST是最常见的HTTP方法...
请求头中没有origin
07-14
如果请求头中没有`origin`字段,这意味着该请求没有携带跨域请求的来源信息。在这种情况下,您可以尝试以下几种方法来处理跨域请求: 1. 检查是否真的需要跨域请求:如果您的应用程序没有跨域请求的需求,可以通过使用相对路径或在同一域名下部署相关资源来避免跨域问题。 2. 设置允许跨域请求:如果您的应用程序确实需要进行跨域请求,您可以在Nginx配置中设置允许跨域请求。例如,可以使用`add_header`指令在Nginx的响应中添加`Access-Control-Allow-Origin`头,允许指定的源进行跨域请求。以下是一个示例配置: ```nginx location / { add_header Access-Control-Allow-Origin *; # 其他配置... } ``` 上述配置中的`*`表示允许任何来源进行跨域请求。如果您只想允许特定的来源进行跨域请求,可以将`*`替换为特定的源。 请注意,这样的配置可能会存在安全风险,因为它允许任何来源进行跨域请求。在生产环境中,建议根据实际需求仅允许特定的来源进行跨域请求。 3. 考虑使用其他跨域解决方案:如果您的应用程序需要更复杂的跨域请求处理,例如需要进行身份验证或处理复杂的请求类型(如PUT、DELETE等),可以考虑使用其他跨域解决方案,如代理服务器或反向代理。 请注意,对于安全原因,应仔细评估允许跨域请求的需求,并确保您采取适当的安全措施来保护您的应用程序。 如果您有其他问题或需要更多帮助,请提供更多上下文信息,以便更好地理解您的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值