HTTP安全响应头设置

最新推荐文章于 2024-05-16 14:15:50 发布
最新推荐文章于 2024-05-16 14:15:50 发布
阅读量924 收藏 1
点赞数 1
分类专栏: HTTP 文章标签: 安全 http web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45584346/article/details/123435664
版权
HTTP security
1. Content-Security-Policy

控制浏览器能加载的资源来源。

Content-Security-Policy: default-src ‘self’ ‘https://*.demo.com’;

( 可用来预防XSS攻击 )

2. Public-Key-Pins ( 兼容性不佳 )

告诉浏览器当前网站的证书指纹,以及过期时间等其它信息。未来一段时间内,浏览器再次访问这个网站必须验证证书链中的证书指纹,如果跟之前指定的值不匹配,即便证书本身是合法的,也必须断开连接。

Public-Key-Pins: pin-sha256=<main>; pin-sha256=<sub>; max-age=<expireTime> [; includeSubDomains][; report-uri=“reportURI”]

( 可用来预防中间人攻击 )

不足:

  • 依赖响应头,首次访问就被劫持的情况下无能为力
3. Strict-Transport-Security

告诉浏览器只能通过HTTPS访问当前资源。

Strict-Transport-Security: max-age=<expireTime>[; includeSubDumains][; preload]

( 可用来预防中间人攻击 )

不足:

  • 依赖响应头,首次访问就被劫持的情况下无能为力
4. Cookie security

  • 设置Secure: Cookie只应通过被HTTPS协议加密过的请求发送给服务端

    ( 可用来预防中间人攻击 )

  • 设置HttpOnly: JS无法通过document.cookie获取带有HttpOnly属性的cookie

Set-Cookie: <token>; Expires=<expireTime>; Secure;HttpOnly

( 可用来预防XSS攻击 )

PS: 即使设置了,敏感信息也不应通过Cookie发送

5. X-Content-Type-Options

用来提示客户端遵循在Content-Type首部中对MIME类型的设定。

X-Content-Type-Options: nosniff

( 可以用来预防文件解析漏洞? )

6. X-Frame-Options

告诉浏览器页面能否在<frame><iframe><embed><object>中展现

X-Frame-Options: deny ( 禁止 )

X-Frame-Options: sameorigin ( 同源 )

X-Frame-Options: allow-from https://example.com/ ( 自定义信任的网站 )

( 可以用来预防点击劫持攻击 ( 中间人攻击? ) )

7. X-XSS-Protection

当检测到XSS攻击时,浏览器可根据设置停止加载页面

X-XSS-Protection: 0 ( 禁止XSS过滤 )

X-XSS-Protection: 1 ( 启用XSS过滤,通常浏览器是默认的。 如果检测到跨站脚本攻击,浏览器将清除页面 ( 删除不安全的部分 ) )

X-XSS-Protection: 1; mode=block ( 启用XSS过滤, 如果检测到攻击,浏览去不会清除页面,而是阻止页面加载 )

刘瓜皮Alison
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx配置Http响应安全策略_nginx content-security-policy
2401_84181383的博客
04-10 1746
是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
12-HTTP-response设置响应
记录java学习日常~
06-04 4807
【代码】12-HTTP-response设置响应
http响应设置
weixin_30500289的博客
01-10 96
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // 设置响应数据 response.setHeader(null, "HTTP/1...
Vue进阶(三十三)Content-Security-Policy(CSP)详解_content-security-policy前端和后端(1)
最新发布
2401_84617302的博客
05-16 508
CSP) 是一种加固 Web 应用的安全性技术,通过在网站页面设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。CSP 包括很多不同的策略,因此安全设置的具体值取决目标网站的需求和资源使用情况。一般而言,建议设置较为严格的 CSP,以避免XSSCSRF等安全问题。以上设置的 CSP 规则禁止所有来自第三方网站的资源,只允许本网站的资源加载。其中script-src只允许本网站和 example.com 的脚本加载,img-src只允许本网站和 data: URI 的图片加载,
HTTP 安全响应(Security Response header)配置
qq_42445433的博客
08-11 2890
HTTP 安全响应(Security Response header)配置
HTTP响应
weixin_42047392的博客
06-27 155
设置HTTP响应的方法: 这些方法由HttpServletResponse 类提供的: 1 String encodeRedirectURL(String url) 对sendRedirect()方法使用的URL进行编码 2 String encodeURL(String url) 将URL编码,回传包含Session ID的URL 3 boolean containsHeader(String...
Http通过响应控制浏览器行为
06-02
本主题将深入探讨HTTP通信中的消息响应,以及如何通过它们来控制浏览器行为。我们将以一个简单的示例项目"HttpTest"为背景,分析相关知识点。 一、HTTP消息响应 1. HTTP消息结构:HTTP请求由三部分...
Http请求响应
05-29
4. **Cookie**: 用于维持客户端会话状态,服务器可以通过Set-Cookie响应设置。 5. **Referer**: 显示用户是从哪个URL点击链接到达当前请求的页面。 6. **Host**: 指定请求的服务器主机名和端口号。 7. **...
vue在响应response中获取自定义headers操作
10-15
在涉及安全性的场景中,为了防止第三方伪造响应报文欺骗前端,后端会在响应中添加自定义的headers,这些自定义headers包含了用于验证身份的关键信息。 在Vue中,通过 Axios 发送POST请求时,我们可能需要获取响应...
JavaWeb开发技术-HTTP响应消息 HTTP响应.pptx
07-06
JavaWeb开发技术-HTTP响应消息HTTP响应 JavaWeb开发技术中,HTTP响应消息是服务器向客户端发送的响应消息的重要组成部分。HTTP响应消息是指在响应状态行之后的多行文本,它们是由字段名称和值构成的,每个...
IIS中http的作用介绍
01-10
主机是绑定域名,没有域名不用设置主机 所谓的主机的叫法起自IIS中对域名绑定的功能,一般的web服务器一个ip地址的80端口只能正确对应一个网站,处理一个域名的访问请求。而web服务器在不使用多个ip地址和端口...
HTTP部信息解释分析(详细整理)
09-22
这些部信息在HTTP请求和响应中起着关键作用,确保数据正确地被解析、缓存和传递,优化网络性能,同时也提供了安全性和认证机制。理解和掌握这些部信息对于网络开发、性能优化以及问题排查至关重要。
http请求响应公共方法
06-26
// 设置其他请求,如Content-Type、Authorization等 connection.setRequestProperty("Content-Type", "application/json"); connection.setRequestProperty("Authorization", "Bearer your_token"); if ...
http、restTemplate请求资源(含带部信息)
05-24
例如,可以设置`Accept`部指定接受的响应类型,或者设置`Authorization`进行身份验证。 ```java RestTemplate restTemplate = new RestTemplate(); HttpHeaders headers = new HttpHeaders(); headers....
header函数设置响应解决php跨域问题实例详解
10-15
除了这两个主要的部字段,还有其他可能需要设置响应,例如: - `Access-Control-Allow-Headers`:允许自定义部,例如`Content-Type`,用于POST请求时指定数据类型。 - `Access-Control-Allow-Credentials`...
安全:PHP安全
02-02
将与安全性相关的标添加到HTTP响应。 该软件包包括用于轻松集成服务提供商。 版 7.1.0 支持的Laravel版本 5.1〜8.x 安装 非Laravel项目 使用composer安装 composer require bepsvpt/secure-headers 将配置文件...
Content-Type响应设置码表
isjun26
07-03 4667
1.Content-Type响应的作用 1.设置了response使用的码表 2.通知了浏览器使用指定的码表去解码。 2.常用的方法: setHeader(名称,值); setContentType(值); 3.乱码的根本原因 reponse默认使用iso8859-1进行编码,浏览器默认使用utf-8或者gbk解码,因此有乱码。 解决方案:让reponse和...
HTTP 响应Content-Security-Policy
focus on security
08-24 9142
HTTP 响应Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
前端--servlet 服务器HTTP响应设置示例(response用法)
blues的博客
08-12 2505
servlet 服务器HTTP响应设置示例(response用法) 1,Location 用于重定向,和返回状态码302结合使用。 代码示例: response.setStatus(302); response.setHeader("location","/day20131128/1.html"); 这样,当请求服务器的时候可以重定向到这个/day20131128/1.html文件 也可以这样: response.sendRedirect("/day20131128/1.html")...
java http安全响应修复
06-09
为了增强Java应用程序安全性,可以在HTTP响应中添加一些安全相关的部,以防止一些常见的攻击。以下是一些建议的HTTP安全响应: 1. X-Frame-Options: DENY 或 SAMEORIGIN 该部可以防止网页被放入一个 iframe 中,从而避免点击劫持攻击。DENY 表示该页面不允许被嵌套到任何 iframe 中,而 SAMEORIGIN 表示该页面只允许在同域名下的 iframe 中嵌套。 2. X-XSS-Protection: 1; mode=block部可以启用浏览器内置的 XSS 过滤器,以防止跨站脚本攻击。设置为1; mode=block表示开启过滤器并阻止页面加载。 3. X-Content-Type-Options: nosniff 该部可以防止浏览器对文本文件的MIME类型进行猜测,从而避免MIME类型欺骗攻击。 4. Content-Security-Policy: default-src 'self' 该部可以限制页面中可加载的资源,从而避免跨站脚本攻击、数据注入攻击等。上述示例表示只允许加载同域名下的资源。 以上是一些常见的HTTP安全响应,可以根据具体的需求进行灵活配置。在Java应用程序中可以通过Spring Security等框架来配置这些响应

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值