Strict-Transport-Security(HSTS)& X-Frame-Options & X-XSS-Protection

最新推荐文章于 2024-06-21 10:28:25 发布
最新推荐文章于 2024-06-21 10:28:25 发布
阅读量539 收藏 9
点赞数 6
分类专栏: HTTP安全 文章标签: xss 前端 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42451330/article/details/139631469
版权

一、Strict-Transport-Security(HSTS)

1、HSTS介绍

        HTTP Strict-Transport-Security(通常简称为 HSTS)响应标头用来通知浏览器应该只通过 HTTPS 访问该站点,并且以后使用 HTTP 访问该站点的所有尝试都应自动重定向到 HTTPS。  

2、语法

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains; preload

3、指令

max-age=<expire-time>
浏览器应该记住的,只能使用 HTTPS 访问站点的最大时间量(以秒为单位)。

includeSubDomains 可选
如果这个可选的参数被指定,那么说明此规则也适用于该网站的所有子域名。

preload 可选 非标准
查看预加载 HSTS 获得详情。当使用 preload,max-age 指令必须至少是 31536000(一年),并且必须存在 includeSubDomains 指令。这不是标准的一部分。

4、示例

        现在和未来的所有子域名会自动使用 HTTPS,有效期(max-age)为一年。同时阻止通过 HTTP 访问页面或者子域的内容。

Strict-Transport-Security: max-age=31536000; includeSubDomains

二、X-Frame-Options
1、X-Frame-Options介绍

        X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>、<iframe>、<embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。

2、语法

X-Frame-Options 有两个可能的值:

#表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
X-Frame-Options: DENY  
#表示该页面可以在相同域名页面的 frame 中展示。 
X-Frame-Options: SAMEORIGIN 

3、示例

注意:使用 <meta> 标签来设置 X-Frame-Options 是无效的!例如 <meta http-equiv="X-Frame-Options" content="deny"> 没有任何效果。不要这样用!只有当像下面示例那样设置 HTTP 头 X-Frame-Options 才会生效。
nginx

add_header X-Frame-Options SAMEORIGIN always;  

#Apache

Header always set X-Frame-Options "SAMEORIGIN" 

三、X-XSS-Protection

1、X-XSS-Protection介绍

        HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS) 时,浏览器将停止加载页面。若网站设置了良好的 Content-Security-Policy 来禁用内联 JavaScript ('unsafe-inline'),现代浏览器不太需要这些保护,但其仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。

2、语法

禁止 XSS 过滤。

X-XSS-Protection: 0

启用 XSS 过滤。如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。

X-XSS-Protection: 1

启用 XSS 过滤。如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。

X-XSS-Protection: 1; mode=block

启用 XSS 过滤。如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。

X-XSS-Protection: 1; report=<reporting-uri>

3、示例

PHP

header("X-XSS-Protection: 1; mode=block");

Nginx

add_header "X-XSS-Protection" "1; mode=block";

战斗爽!战斗爽!战斗爽!战斗爽!战斗爽!
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试web未设置http头 Strict Transport Security
墨痕诉清风的博客
10-26 8989
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。HSTS响应头格式preload]max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。...
nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security 标头
05-30
nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。 依赖关系 nginx 1.xx 的来源及其依赖项。 建造 解压 nginx_ 源代码: $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码: $ ...
Web服务安全
qq_19462809的博客
10-22 3635
Web服务从来就不是安全的,即使使用没有任何问题的代码,它仍然面临着很多威胁。这些威胁万网来自于Web服务本身,一方面来自于通信协议的不安全,另一方面来自于Web服务器的部署。长期以来,Web客户端与web服务端一致使用HTTP通信,而这种协议存在很多问题,从而导致中间人欺骗等多种攻击方式的产生。目前HTTP正逐渐被HTTPS所取代。但针对HTTPS的攻击也从未停止过。
Nginx 安全加固参考建议 —— 筑梦之路
筑梦之路
12-01 2408
nginx作为一款流行的web服务器,很多时候作为网站访问入口暴露在公网环境上,为了保护我们的资产,安全加固必不可少。1. 禁用server_tokens指令,不暴露版本号。以上是nginx安全加固的一些建议,仅供参考。4. 设置access error日志。2. 禁用不需要的HTTP方法。8. 限制并发、访问速率和流量。5. 反向代理隐藏主机信息。7. header安全加固。3. 设置缓冲区大小限制。6. SSL安全加固。
为什么我们要使用HTTP Strict Transport Security
weixin_33982670的博客
01-18 1125
为什么我们要使用HTTP Strict Transport Security?                                wenjian_tk0                                                                                                              2015-05-...
渗透测试-HTTP Strict Transport Security
csdnhnma的博客
04-28 2048
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 0×01. Freebuf百科:什么是Strict-Transport-Security 我摘自owasp上的一段定义: HTTPStrictTransportSecurity(HSTS)isanopt-insecurityenhancementthatisspecifiedbyawebapplicat...
https:将PSR-15中间件重定向到https并添加Strict-Transport-Security标头
02-17
要求 ...安装 该软件包可通过Composer作为安装和自动加载。 ...例子 $ dispatcher = new Dispatcher ([ ... -> includeSubdomains () ...$ response = $ dispatcher -> dispatch ( new ServerRequest ());...
Laravel开发-strict-transport-security
08-28
Laravel开发-strict-transport-security 设置hsts头以启用HTTP严格传输安全
nodemailer-postmark-transport:Nodemailer的邮戳传输
05-03
Nodemailer邮戳运输 Nodemailer的邮戳传输。...'use strict' ; const nodemailer = require ( 'nodemailer' ) ; const postmarkTransport = require ( 'nodemailer-postmark-transport' ) ; const transp
strict-qs:更严格的查询字符串解析器
05-16
为了确保URI的唯一性, strict-qs检查: 查询字符串的设置顺序, 查询参数值未设置为其默认值, 设置的值是可重入的(即: 1.10将被拒绝,其规范格式为1.1 ), 使用的查询参数是现有的且有效的, 将对项集合...
HTTP 安全响应头(Security Response header)配置手册
sysin | SYStem INside
12-09 9910
HTTP 安全响应头(Security Response header)配置手册
Missing HTTP Strict-Transport-Security Header (HSTS) 解决
weixin_33796177的博客
08-21 4682
HSTS简介 HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。 server { listen 443 ssl; server_name ww...
HTTPS强制安全策略-HSTS协议阅读理解
weixin_33772645的博客
01-03 339
https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security 【阅读理解式翻译,非严格遵循原始文档,以更生动表现出文章本义】 HTTP Strict Transport Security HTTP Strict Transport Security (often abbreviat...
Spring-Security对HTTP相应头的安全支持
盲目的拾荒者的博客
04-05 1万+
Spring Security支持在响应中添加各种安全头,默认相应安全头: Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=...
Web低危漏洞之HTTP Strict-Transport-Security缺失的处理
热门推荐
weixin_42715225的博客
09-10 1万+
前言 … … 漏洞呈现 解决 Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 示例 ... ... server { add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; prel
HTTP Strict Transport Security
Karl's blog!
01-31 6573
它的作用是,对某些站点,当用户在浏览器输入不带协议的网址的时候,自动识别协议为https,而不是http。 例如用户输入paypal.com,浏览器会自动访问https://paypal.com,而不是http://paypal.com。当然,即使你的浏览器不支持HSTS,paypal也会自动跳转到https。 那么如何让自己的站点支持HSTS呢?只要在自己的站点的HTTPS响应的HT
Pikachu靶场--XSS
qq_65150735的博客
06-17 1020
Pikachu靶场--XSS跨站脚本
Web渗透:XSS-DOM-based XSS
最新发布
WolvenSec的博客
06-21 598
DOM-based XSS(基于DOM的跨站脚本攻击)是一种XSS攻击类型,其特点是恶意脚本通过操作文档对象模型(DOM)直接在客户端执行,而无需经过服务器的处理。这种攻击主要利用客户端JavaScript代码中的漏洞,使得攻击者能够在浏览器中注入并执行恶意代码。
Strict-Transport-Security配置
07-25
Strict-Transport-SecurityHSTS)是一个HTTP响应头,它允许网站强制客户端只能通过HTTPS与服务器进行通信,而是通过HTTP。这提供更强的安全性,防止中间人攻击和数据泄露。 要配置Strict-Transport-Security,需要在服务器的HTTP响应中添加Strict-Transport-Security头。以下是一个示例配置: ``` Strict-Transport-Security: max-age=31536000; includeSubDomains; preload ``` 这里是一些常见的配置选项: - `max-age`:指定HSTS策略的持续时间,以秒为单位。上面的示例中,设置为31536000秒(一年)。 - `includeSubDomains`:指定是否包括所有子域名。如果设置为true,则HSTS策略将适用于当前域名及其所有子域名。 - `preload`:指定是否将网站添加到HSTS预加载列表中。预加载列表是由浏览器维护的列表,浏览器访问列表中的网站时会自动使用HTTPS连接。 请注意,配置HSTS时需要谨慎。一旦启用HSTS,并且设置了较长的max-age值,客户端将在该时间段内无法通过HTTP连接到服务器。因此,在部署HSTS之前,请确保您的网站已正确配置HTTPS,并且已在生产环境中进行了全面测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值