SpringSecurity------HTTP Response Headers(四)

已于 2022-06-18 18:28:46 修改
阅读量1.9k 收藏 1
点赞数 1
分类专栏: SpringSecurity 文章标签: http java 安全
于 2022-06-15 23:12:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanjun333/article/details/125287960
版权

SpringSecurity------HTTP Response Headers(四)


有很多的HTTP Response Headers可以用于提高应用程序的安全级别。下面我们专门讨论Spring Security提供支持的各种HTTP响应头,如果需要,我们也可以使用自定义的HTTP Response Headers。

一、SpringSecurity的默认HTTP Response Headers

Spring Security提供了一组与安全性相关的默认HTTP响应头:

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

注意:Strict-Transport-Security 只适用于HTTPS Requests

二、SpringSecurity的默认HTTP Response Headers介绍

1、Cache Control

如果一个登录用户访问了敏感信息,然后登出,我们不希望非法用户通过点击回退按钮去浏览敏感信息,为了保护用户的内容安全,Spring Security默认禁用缓存。Cache Control请求头需要如下设置:

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0

如果应用程序提供了自己的缓存控制头,Spring Security的Cache Control默认设置就会失效,这样应用程序就可以缓存一些静态资源(CSS和JavaScript等)。

2、Content Type Options

旧版浏览器,包括Internet Explorer,会尝试使用内容嗅探(content sniffing)来推断请求的Content Type,以此来改善用户体验。例如,如果浏览器遇到一个没有指定Content Type的JavaScript文件,它将能够推断出Content Type,然后运行它。内容嗅探会导致一个问题,非法用户可以使用多种语言进行XSS攻击。例如,一些站点可能允许用户向网站提交有效的postscript文档并进行查看。非法用户可能创建一个postscript文档,该文档也是一个有效的JavaScript文件,并使用它执行XSS攻击。Spring Security 可以添加X-Content-Type-Options来禁用内容嗅探:

X-Content-Type-Options: nosniff

3、HTTP Strict Transport Security (HSTS)

忽略https协议,可能受到中间人攻击(Man in the Middle)。即使网站执行重定向到HTTPS请求,非法用户也可以拦截初始的HTTP请求并操纵响应。许多用户忽略了HTTPS协议,这就是创建HTTP Strict Transport Security (HSTS)的原因。如果应用服务器被设置为HSTS HOST,浏览器就可以提前知道对服务器的任何请求都应该被解释为HTTPS。这大大降低了中间人攻击发生的可能性。

将站点标记为HSTS HOST的一种方法是将HOST预加载到浏览器中。另一种方法是向HTTP Response Headers添加Strict-Transport-Security。Spring Security的默认添加以下HTTP Response Headers:

Strict-Transport-Security: max-age=31536000 ; includeSubDomains ; preload

  • 它指示浏览器将域作为HSTS HOST处理一年(一年大约有31536000秒)

  • 选项includeSubDomains指示浏览器需要将子域(比如secure.mybank.example.com)也当做HSTS域

  • 可选的preload指令指示浏览器,域应该作为HSTS域预加载在浏览器中

4、HTTP Public Key Pinning (HPKP)

由于使用HPKP比较复杂,不在推荐使用。谷歌浏览器已经移除了对HPKP的支持。

5、X-Frame-Options

允许你的站点被添加到一个frame中会存在安全问题,比如使用合适的CSS样式诱骗用户点击他们本不打算点击的东西,这种攻击被称为点击劫持(Clickjacking)。有很多方法可以减少点击劫持。例如,要保护老式浏览器免受点击劫持攻击,可以使用Frame破坏代码。虽然不是完美的,但Frame破坏代码是可以为传统浏览器所做的最好的防护措施。解决点击劫持的一种更现代的方法是使用X-Frame-Options头。Spring Security禁用iframe中呈现页面的HTTP Response Headers:

X-Frame-Options: DENY

6、X-XSS-Protection

一些浏览器内置了对跨站攻击(XSS)的过滤功能,这绝不是万无一失的,但确实有助于XSS的保护。.过滤通常在默认情况下是启用的,因此添加Headers通常只是确保启用了它,并指示浏览器在检测到XSS攻击时应该做什么。例如,过滤器可能试图以侵入性最小的方式更改内容,仍然呈现所有内容。有时,这种类型的修改本身可能成为XSS漏洞。相反,最好是屏蔽内容,而不是试图修复它。Spring Security屏蔽内容的HTTP Response Headers:

X-XSS-Protection: 1; mode=block

三、其他的HTTP Response Headers介绍

7、Content Security Policy (CSP)

Web应用程序可以使用内容安全策略(CSP)减少内容注入漏洞(content injection vulnerabilities),比如跨站点脚本(XSS)。CSP是一种声明性策略,它可以用于声明并最终通知客户端(user-agent) Web应用程序希望从哪里加载资源。Web应用程序可以通过设置下面的HTTP Response Headers中的一个来使用CSP:

  • Content-Security-Policy
  • Content-Security-Policy-Report-Only

以上每一个HTTP Response Headers都会为客户端提供一种安全策略,每一种安全策略都会有一组安全策略指令,每个指令都会声明特定资源的限制,比如一个Web应用程序可以使用下面的HTTP Response Headers设置来声明其加载脚本的可信资源地址,如果试图从其他资源地址加载脚本,将会被user-agent阻止:

Content-Security-Policy: script-src https://trustedscripts.example.com

如果在Header的Content-Security-Policy中声明了report-uri属性,非法加载行为将会报告给report-uri指定的URL:

Content-Security-Policy: script-src https://trustedscripts.example.com; report-uri /csp-report-endpoint/

Content-Security-Policy-Report-Only设置只是为程序开发人员提供监视安全策略的功能,实际不会强制执行它们。这个HTTP Response Headers设置通常为站点实验或是开发安全策略时使用,加载非法站点资源会被报告给指定URL,但是不会阻止非法资源的加载:

Content-Security-Policy-Report-Only: script-src 'self' https://trustedscripts.example.com; report-uri /csp-report-endpoint/

8、Referrer Policy

引用策略(Referrer Policy)包含用户所在的最后一个页面,Spring Security提供了引用策略的HTTP Response Headers设置:

Referrer-Policy: same-origin

Referrer-Policy响应头指示浏览器让目标知道用户之前所在的源。

9、Feature Policy 和 Permissions Policy

特性策略(Feature Policy)和权限策略(Permissions Policy)是一种允许Web开发人员有选择地启用、禁用和修改浏览器中某些api和Web特性的行为的机制。

Feature-Policy: geolocation 'self'

Permissions-Policy: geolocation=(self)

有了Feature Policy,开发人员可以选择一组“策略”,让浏览器强制执行在站点中使用的特定功能。 这些策略限制了站点可以访问哪些api,或者修改浏览器针对某些特性的默认行为。

10、Clear Site Data

Clear Site Data是一种机制,当HTTP Response Headers包含以下报头时,任何浏览器端数据(cookie、本地存储等)都可以被移除:

Clear-Site-Data: "cache", "cookies", "storage", "executionContexts"

这是一个很好的注销清理操作。

11、Cross-Origin Policies

跨源请求策略(Cross-Origin Policies),Spring Security提供了一些重要的跨源HTTP Response Headers设置:

  • Cross-Origin-Opener-Policy

  • Cross-Origin-Embedder-Policy

  • Cross-Origin-Resource-Policy

Cross-Origin-Opener-Policy (COOP)允许一个顶级文档打破它的窗口和浏览上下文组中的任何其他窗口之间的关联(例如,一个弹出窗口和它的打开器之间),阻止它们之间的任何直接DOM访问。

Cross-Origin-Embedder-Policy(COEP)可以防止文档加载任何没有显式授予要加载的文档权限的非同源资源。

Cross-Origin-Resource-Policy (CORP)报头允许您控制被授权包含资源的源的集合。 它是对Spectre这样的攻击的强大防御,因为它允许浏览器在进入攻击者的进程之前阻止给定的响应。

12、Custom Headers

Spring Security拥有一些机制,可以方便地向应用程序添加更常见的安全头。 但是,它也提供了钩子来支持添加自定义HTTP Response Headers。

上一篇:SpringSecurity------CSRF跨站请求伪造(三)
下一篇:SpringSecurity------加密机制Spring Security Crypto(五)

豢龙先生
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot配置spring security
苏木的小站
01-23 200
spring security是一个轻量级的安全管理框架,提供了认证、授权、会话管理、密码管理、缓存管理等功能。 下面开始演示关于spring security的安全管理。 github:https://github.com/fengqing11/springboot-springsecurity 完整项目截图: 创建一个项目,依赖如下: <?xml version="1.0" enc...
SpringSecurity认证初探
雾落
04-13 93
SpringSecurity认证流程 实现 UserDetailsService 接口的 loadUserByUsername() 方法。
Spring-Security对HTTP相应头的安全支持
热门推荐
盲目的拾荒者的博客
04-05 1万+
Spring Security支持在响应中添加各种安全头,默认相应安全头: Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=...
HTTP response Header列表
07-19
http请求服务单返回头部可选参数、含义、以及相关示例
HTTP请求Response Headers
weixin_30537391的博客
08-14 157
HTTP响应的headers头解析 Allow 服务器支持哪些请求方式(如GET、POST等)。 Content-Encoding 文档编码(Encode)方法。只有在解码之后才可以得到Content-Type头指定的内容类型。利用gzip压缩文档能够显著地减少HTML文档的下载时间。Java的GZIPOutputStream可以很方便地进行gzip压缩,但只有Unix上的Netspace和wi...
[http] HTTP Responses Header 响应头
李培刚的博客
03-01 2887
Header 解释 示例 Accept-Ranges 表明服务器是否支持指定范围请求及哪种类型的分段请求 Accept-Ranges: bytes Age 从原始服务器到代理缓存形成的估算时间(以秒计,非负) Age: 12 Allow 对某网络资源的有效的请求行为,不允许则返回405 Allow: GET, HEAD Cache-Control 告
Spring Security中使用HttpServletResponse::sendError产生的一次非预期返回
weixin_39219172的博客
05-30 2627
前言 本文主要记录公司使用spring security时在认证失败阶段给客户端返回失败时的一次非预期返回。 所以下面会提到Spring Security在认证过程中的一些名称,如AuthenticationFilter,AuthenticationManager,AuthenticationProvider等,分别用来过滤请求,执行认证过程,提供具体认证方式。 spring security使用一个filter链完成对请求的认证(authentication)和授权(authorization)过程,详细
SpringSecurity------Security相关的HTTP响应头(三)
豢龙先生
12-08 1219
SpringSecurity------Security HTTP Response Headers(三)二、Security HTTP Response Headers 二、Security HTTP Response Headers #Security HTTP Response Headers There are many HTTP response headers that can be used to increase the security of web applications. This
Spring-MVC的文件上传,下载的技术攻克
09-09
它提醒我们关注Spring MVC框架的核心概念和特性,如模型-视图-控制器(MVC)设计模式、注解驱动的编程、AOP(面向切面编程)、依赖注入(DI),以及与Spring其他模块(如Spring Boot、Spring Security)的集成。...
SpringBootDemo-fileupload.rar
01-09
5. **文件下载**:SpringBoot提供了`ResponseEntity`和`HttpHeaders`类来处理HTTP响应,从而实现文件下载。通过设置`Content-Disposition`头为`attachment`,浏览器会弹出下载对话框。同时,指定正确的文件名和MIME...
spring security ajax请求与html共存
03-23
Spring Security 是一个强大的Java安全框架,它为Web和企业应用程序提供了全面的安全解决方案。在这个主题“spring security ajax请求与html共存”中,我们将探讨如何在使用Spring Security的同时处理Ajax(异步...
Spring Boot接口设计防篡改、防重放攻击详解
08-25
在Spring Boot应用中,接口的安全性至关重要,尤其是当它们暴露给第三方使用时。本文将深入探讨如何在Spring Boot中设计接口以防止篡改和重放攻击。这两种攻击都是常见的网络安全威胁,可以严重影响系统的稳定性和...
常见Http响应头部 responses header
哒哒哒
07-18 5577
响应头 说明 示例 Access-Control-Allow-Origin 指定哪些网站可以跨域资源共享 Access-Control-Allow-Origin:* Accept-Patch 指定服务器所支持的文档补丁格式 Accept-Patch:text/exa,ple;charset=utf-8 Accept-Ranges 服务器支持的内...
转:http协议学习系列(响应头---Response Headers)
老猿Python
07-11 3172
HTTP最常见的响应头如下所示: ·Allow:服务器支持哪些请求方法(如GET、POST等); ·Content-Encoding:文档的编码(Encode)方法。只有在解码之后才可以得到Content-Type头指定的内容类型。利用gzip压缩文档能够显著地减少HTML文档的下载时间。Java的GZIPOutputStream可以很方便地进行gzip压缩,但只有Unix上的Netscape和W...
[HTTP协议]HTTP Response Header说明
百川东到海,何时复西归
06-16 774
HTTP/1.1 200 OK Bdpagetype: 1 Bdqid: 0xb5c982680003b911 Cache-Control: private 表示所有或响应消息的一部分是为单个用户并且不能由一个共享缓存进行缓存,诸如代理服务器。 Connection: keep-alive 客户端和服务器之间用于传输HTTP数据的TCP连接不关闭 Content-Encoding: gzip 内容编码: gzip 压缩文本文件 Content-Type: text/html;charset=utf-8 内容
12-HTTP-response设置响应头
记录java学习日常~
06-04 4968
【代码】12-HTTP-response设置响应头。
前端讲义11_HTTP Response header
木生火
05-02 1082
使用Fiddler 查看Response header, 点击Inspectors tab ->Response tab-> headers 如下图所示。 Cache头域 Date 作用: 生成消息的具体时间和日期 Date: Wed, 01 May 2019 14:05:16 GMT Expires 作用: 浏览器会在指定过期时间内使用本地缓存 Vary 作...
SpringSecurity------WebSecurityConfiguration配置类
豢龙先生
12-24 3582
SpringSecurity------WebSecurityConfiguration配置类一、WebSecurityConfiguration主要做了什么二、WebSecurityConfiguration是怎样被加载的三、WebSecurityConfiguration的源码分析1、属性字段2、关键方法setFilterChainProxySecurityConfigurer()和springSecurityFilterChain()3、注入了一些Bean4、输出了一些Bean4、重写的方法5、一个内
java中增加X-Frame-Options配置
最新发布
04-13
2. 使用Spring Security:如果你的项目中使用了Spring Security框架,可以通过配置Spring Security来实现X-Frame-Options配置。在Spring Security的配置文件中,可以使用`frameOptions()`方法来设置X-Frame-Options...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

豢龙先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值