http/https安响应头

最新推荐文章于 2024-04-18 11:01:49 发布
最新推荐文章于 2024-04-18 11:01:49 发布
阅读量879 收藏 1
点赞数 1
分类专栏: Java后端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36276193/article/details/82469073
版权
本文介绍了几种常见的HTTP安全响应头,如Strict-Transport-Security、X-Frame-Options、X-XSS-Protection、X-Content-Type-Options和X-Content-Security-Policy,以及它们在防止网络安全攻击中的作用。此外,还提到了在Spring Security框架下如何配置这些安全响应头。
摘要由CSDN通过智能技术生成

1、一些安全相关的HTTP响应头

现代浏览器提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低

1.1Strict-Transport-Securityhttps环境下)

HTTP Strict Transport Security,简称为HSTS。它允许一个HTTPS网站,要求浏览器总是通过HTTPS来访问它。现阶段,除了Chrome浏览器,Firefox4+,以及FirefoxNoScript扩展都支持这个响应头。

我们知道HTTPS相对于HTTP有更好的安全性,而很多HTTPS网站,也可以通过HTTP来访问。开发人员的失误或者用户主动输入地址,都有可能导致用户以HTTP访问网站,降低了安全性。一般,我们会通过Web Server发送301/302重定向来解决这个问题。现在有了HSTS,可以让浏览器帮你做这个跳转,省一次HTTP请求。另外,浏览器本地替换可以保证只会发送HTTPS请求,避免被劫持。

要使用HSTS,只需要在你的HTTPS网站响应头中,加入下面这行:

strict-transport-security: max-age=16070400; includeSubDomains

includeSubDomains是可选的,用来指定是否作用于子域名。支持HSTS的浏览器遇到这个响应头,会把当前网站加入HSTS列表,然后在max-age指定的秒数内,当前网站所有请求都会被重定向为https。即使用户主动输入http://或者不输入协议部分,都将重定向到https://地址。

Chrome内置了一个HSTS列表,默认包含GooglePaypalTwitterLinode等等服务。我们也可以在Chrome输入chrome://net-internals/#hsts,进入HSTS管理界面。在这个页面,你可以增加/删除/查询HSTS记录。例如,你想一直以https访问某网址,通过“add Domain”加上去就好了。查看Chrome内置的全部HSTS列表,或者想把自己的网站加入这个列表。

1.2. X-Frame-Options

X-Frame-Options,是为了减少点击劫持(Clickjacking)而引入的一个响应头。Chrome4+Firefox3.6.9+IE8+均支持。使用方式如下:

x-frame-options: SAMEORIGIN
最低0.47元/天 解锁文章
weixin_36276193
关注
专栏目录
httphttps 所有的请求信息
qq_43071699的博客
05-01 1607
这些部字段多种多样,用于说明请求的各个方面,如客户端信息、请求的内容类型、缓存策略等。HTTPS请求信息与HTTP请求信息本质上是相同的,因为HTTPS是在HTTP的基础上增加了SSL/TLS加密层,以保障数据传输的全性。: 这个部虽然不是HTTPS特有的,但在从HTTP迁移到HTTPS的过程中较为常见,它是一个请求部,告诉服务器客户端愿意并且能够处理从不全的HTTP请求自动升级到HTTPS。: 尽管不太常见,但在需要客户端证书认证的HTTPS连接中,可能会有涉及到客户端证书信息的请求
https工具类设置请求,使用apache的httpclient实现
这个昵称都被用了的博客
09-10 1884
在项目开发过程中,我想大部分系统都需要对接另外的系统。对接方式有很多种,现在最常见的就是https请求了。现将Java发送https请求的工具类整理一下,有需要用到的同学拿走不谢。 该方法使用apache的httpclient实现 第一步:创建SSLClient import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.SSL...
HTTP请求的具体含意
我只是坚持我的兴趣。
08-19 2400
http://jingyan.baidu.com/article/375c8e19770f0e25f2a22900.html 当我们打开一个网页时,浏览器要向网站服务器发送一个HTTP请求,然后网站服务器根据HTTP请求的内容生成当次请求的内容发送给浏览器。你明白HTTP请求的具体含意吗?下面一条条的为你详细解读,先看某一次HTTP请求的具体内容:   Accept-Lan
php 模拟 https请求,php 模拟 http 请求
weixin_35572715的博客
03-18 175
get//建立连接$fp=fsockopen("localhost",80,$errno,$errstr,30);if(!$fp){echo "$errstr $errno"die;}//请求行$out="GET /myproject/html/server.php?username=admin&page=12 HTTP/1.1\r\n";//请求$out.="Host: localho...
HTTP 请求 详解
weixin_33670713的博客
03-29 165
转载:https://kb.cnblogs.com/page/92320/   HTTP(HyperTextTransferProtocol)即超文本传输协议,目前网页传输的的通用协议。HTTP协议采用了请求/响应模型,浏览器或其他客户端发出请求,服务器给与响应。就整个网络资源传输而言,包括message-header和message-body两部分。首先传递message- header,即...
JAVA_EE(一)_Http协议_请求_响应
looperjustice的博客
10-28 317
制定了一套特殊api来应对EE的需求 HTTP协议 HTTP:Hyper Text Tranfer Protocol HTML:Hyper Text Markup Language 超文本:超越了普通文本.文本,音频,视频,图片 传输:通讯的双方 协议:规范双防的权利与义务 规范:通讯双方都应该遵守的规范 网络模型 无论客户端与服务器发送消息都需要通过网络设施. 分层的目的:解耦 Http工作流程 1.域名解析:拿到域名对应的ip地址 浏览器缓存-->操作...
【绿盟】检测到目标Referrer-Policy响应缺失
naansun的博客
11-19 6840
问题展示: 项目进行全扫描 遇到以下低危的风险需要处理~ 响应缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
服务器 响应设置跨域,关于跨域响应Access-Control-Allow-Headers的一些说明
weixin_30578673的博客
08-11 2199
SQL Server 进制转换函数一.背景 前段时间群里的朋友问了一个问题:“在查询时增加一个递增序列,如:0x00000001,即每一个都是36进位(0—9,A--Z),0x0000000Z后面将是0x00000010,生成一个像下 ...JSON 数据解析json解析的几种方法(将字符串解析为object对象和objectArray对象数组) 1 Android自带api 包名 org.js...
合约跟单(对接火币/币/OK/欧易OKEX交易所)系统开发
最新发布
2301_78234743的博客
04-18 998
短剧视频观看广告系统的开发方案可以包括以下关键步骤:需求分析和规划: 确定系统的功能需求,包括视频播。给一个具体情况,先问我能看出来是有什么问题嘛,本人想在供应链方向进行发展,目前有两个offer,主要考虑的是转正率和岗位发展前景,希望牛友们给些建。啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊为什么好崩溃,明明一面二面进度都挺好的,我要绷不住了#我的实习求职记?华为车BU,智驾OD岗位,持续招聘中 期待你的加入!实习项目,实习收获拷打项目,分库分表,责任链ThreadLocal以及常用方法线程池,解释参数,创建。
httphttps的请求与响应
qq_70761095的博客
02-08 4978
HTTP协议(HyperText Transfer Protocol,超文本传输协议):是一种发布和接收 HTML页面的方法。HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)简单讲是HTTP全版,在HTTP下加入SSL层。SSL(Secure Sockets Layer 全套接层)主要用于Web的全传输协议,在传输层对网络连接进行加密,保障在Internet上数据传输的全。HTTP的端口号为80HTTPS的端口号为443。
02 爬虫_基础知识
ICMPARP的博客
06-07 462
1
HTTP协议格式以及HTTP消息详解
以码平川的博客
07-25 4613
HTTP协议格式以及HTTP消息详解 1)TCP/IP知识回顾 在学习计算机网络的原理时往往采取综合OSI和TCP/IP的优点,采用一种只有五层协议的体系结构 从应用层至物理层,数据是一层层封装,封装的方式一般都是在原有数据的前面加一个数据控制,数据封装格式如下: 2)HTTP协议简介 http1.0 HTTP/1.0:客户端可以与web服务器联结之后,只能获得一个web资源 http2.0 HTTP/1.1:客户端可以与web服务器连接之后,一可以获得多个web资源 超文本传输协议(Hyp
Http/Https/请求/响应/Cookie/Session
07-15 1033
参考文章 Http教程 HTTPHTTPS协议,看一篇就够了
HTTP协议请求响应过程和HTTPS工作原理
weixin_33852020的博客
05-13 206
HTTP协议 HTTP协议主要应用是在服务器和客户端之间,客户端接受超文本。 服务器按照一定规则,发送到客户端(一般是浏览器)的传送通信协议。与之类似的还有文件传送协议(file transfer protocol,FTP),简单邮件传送协议(simple mail ttransfer protocol,SMTP)等。 HTTP是在七层网络模型中的应用层的协议,由发送请求和接受响应构成,是一...
常用http以及https
yuxiaoc的博客
10-07 773
233
HTTPHTTPS、请求、返回、HTTP响应码、cookie、编码
m0_59856804的博客
10-24 1604
request请求数据包格式、response返回数据包数据格式、HTTPHTTPS、请求、返回、HTTP响应码、cookie、编码
使用https响应来解决浏览器跨域
coderchenhao的博客
08-21 3093
前言 博主的使用nginx来解决浏览器跨域问题中,已经介绍了什么是浏览器跨域。接下来,博主来介绍一下怎么使用https响应来解决浏览器跨域问题。 解决跨域问题 这里介绍一下跨域实践的相关环境: 前端程序:8182端口,部署在本地。 后端程序1:8084端口,部署在本地。 后端程序2:443端口,部署在阿里云服务器,采用域名访问(因为https证书绑定的是域名) 添加跨域响应 从浏览器给出的跨越提示中,我们只需要在后端的响应中添加上跨域的响应,博主这里使用的是springboot项目,代码如下:
HTTP响应详解, HTTP请求构造及HTTPS详解
weixin_47786582的博客
09-16 506
响应的基本格式和请求报的格式基本一致类似于ContentTypeContentLength等属性的含义也和请求中的含义一致。
卓端 获取onenet数据 新版
05-30
你可以通过使用 OneNet 的 RESTful API 接口来获取设备数据。具体步骤如下: 1. 获取设备 ID 和 API Key 在 OneNet 中创建一个设备,并获取该设备的设备 ID ...注意,你需要在请求中添加 API Key,以进行身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值