X-Frame-Options,X-XSS-Protection,X-Content-Type-Options

最新推荐文章于 2024-06-05 16:00:00 发布
最新推荐文章于 2024-06-05 16:00:00 发布
阅读量575 收藏 1
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/lightpro/p/10895332.html
版权

X-Frame-Options

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame><iframe>或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

使用 X-Frame-Options

X-Frame-Options 有三个值:

DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

结果

在 Firefox 尝试加载 frame 的内容时,如果 X-Frame-Options 响应头设置为禁止访问了,那么 Firefox 会用 about:blank 展现到 frame 中。也许从某种方面来讲的话,展示为错误消息会更好一点。

 

X-XSS-Protection

 HTTP X-XSS-Protection 响应头是Internet Explorer,Chrome和Safari的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。

语法

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0
禁止XSS过滤。
1
启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。
1;mode=block
启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
1; report=<reporting-URI>  (Chromium only)   启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP  report-uri指令的功能发送违规报告。

X-Content-Type-Options

 X-Content-Type-Options 响应首部相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对  MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。

语法

X-Content-Type-Options: nosniff

指令

nosniff
下面两种情况的请求将被阻止:
  • 请求类型是"style" 但是 MIME 类型不是 "text/css",
  • 请求类型是"script" 但是 MIME 类型不是  JavaScript MIME 类型
 

转载于:https://www.cnblogs.com/lightpro/p/10895332.html

weixin_34072159
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全漏洞 X-Frame-Options响应头配置
yangwawa19870921的专栏
09-26 935
介绍:可以参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 下面记录一下Java部分的写法 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.s...
WEB安全防御总结一 : 响应头(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection)
了解—学习—进步—满足
09-08 1万+
漏洞简介: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。 修复建议: 1. 响应头中存在 X-Content-Type-Options 属性,而且 X-Content-Type-Options 属性值包含“nosniff”。 2. 检测 HTTP X-Frame-Options 字段,字段值包含 deny 或 sameorigin。 3.配置...
安全头响应头(三)​X-Content-Type-Options
xnxqwzy的博客
03-05 2305
一 [X-Content-Type-Options响应头](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options “X-Content-Type-Options响应头”)① 基础铺垫② 浏览器默认行为③ 问题引入相关配置说明④ 参考链接[css 的content-type为"text/html" 不是 “text/css”
【已解决】“X-Content-Type-Options”头缺失或不安全
最新发布
qq_44005305的博客
06-05 1396
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
Web安全之充分利用 X-Content-Type-Options
路多辛的所思所想
06-13 7095
X-Content-Type-Options 是一种 HTTP 响应头,用于控制浏览器是否应该尝试 MIME 类型嗅探。如果启用了 X-Content-Type-Options,浏览器将遵循服务器提供的 MIME 类型,用于防止浏览器执行 MIME 类型错误的响应体(response body)。
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
热门推荐
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求头 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
X-Frame-Options X-XSS-Protection X-Content-Type-Options 响应头的配置
吃个榴莲压压鲸的博客
09-22 4221
nginx下配置: Header头设置 通过以下设置可有效防止XSS攻击 add_header X-Frame-Options "SAMEORIGIN"; add_header X-XSS-Protection "1; mode=block"; add_header X-Content-Type-Options "nosniff"; X-Frame-Options: 响应头表示是否允许浏览器加载frame等属性,有三个配置DENY禁止任何网页被嵌入,SAMEORIGIN只允许本网站的嵌套,ALLOW
nginx 安全配置代码 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options
09-02
当配置 Nginx 的安全选项时,你可以使用以下代码来设置 X-Frame-Options、X-XSS-Protection 和 X-Content-Type-Options: ``` server { ... # 配置 X-Frame-Options add_header X-Frame-Options SAMEORIGIN; ...
nginx 中的配置 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options
09-02
3. X-Content-Type-Options:它用于控制浏览器的MIME类型嗅探行为,防止出现MIME类型欺骗攻击。在Nginx中,可以通过以下行启用: ``` add_header X-Content-Type-Options nosniff; ``` 这将设置X-Content-Type...
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头问题
hsc的博客
07-22 6787
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
24.下面哪个请求头可以用于防止SSRF攻击? X-Content-Type-Options X-Forwarded-For X-Frame-Options X-XSS-Protection
07-20
- X-Content-Type-Options:用于指示浏览器是否应该嗅探响应的内容类型。它可以帮助防止某些类型的跨站脚本攻击(XSS),但与SSRF攻击无关。 - X-Frame-Options:用于指示浏览器是否允许通过框架嵌入网页。它有助于...
HTTP协议安全头部X-Content-Type-Options引入的问题
qq_53058639的博客
05-28 774
本文于2016年4月完成,发布在个人博客网站上。前段时间测试MM反馈了一个问题,在富文本编辑器里上传的图片无法正常呈现。因为Jackie在本机的环境上没有观察类似的现象,而恰好那天测试环境的某个重要配项被改错了,于是Jackie想当然的归类为配置项错误引入的问题。但修改完测试环境的配置项后,测试反馈富文本编辑器内图片无法呈现的现象依然存在。这下就有点麻烦了,问题是在版本上线的前一天晚上发现的,如果问题不能尽快处理,势必对第二天的版本上线产生影响。
大聪明教你学Java | Spring Boot 项目设置 X-Content-Type-Options 响应头
不肯过江东丶
03-04 2万+
大聪明开发的应用系统已经上线三年了,然而就在昨天依然被扫描出了一个漏洞 —— 远程 Web 系统应用程序不采取措施来减轻一类 Web 应用程序漏洞,说白了就是远程网络应用程序不设置 X-Content-Type 响应头。刚看到扫描报告的时候还真有点麻爪,不知道如何下手,最后经过一番努力还是成功的修复了这个漏洞,那么借此机会,大聪明就和大家分享一下如何修复此类漏洞。
检测到系统有X-Content-Type-Options响应头缺失
hzjhss的博客
09-03 2194
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件。apache的解决办法。
web安全:x-content-type-options头设置
juruiyuan111的专栏
03-18 2万+
如果服务器发送响应头 "X-Content-Type-Options: nosniff",则script和styleSheet元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 简单理解为:通过设置"X-Content-Type-Options: nosniff"响应标头,对script和styleSheet在执行是通过MIME 类型来过滤掉不安全的文件 服务器发送含有"X-Content-Type-Options: n...
检测到目标X-Content-Type-Options响应头缺失
lxyoucan的博客
07-15 5510
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值