chrome禁⽤https限制http_HTTP协议安全相关header详解HTTP安全标头是⽹站安全的基本组成部分http协议有许多可以增强⽹站安全性,减少⽤户被攻击的安全策略,部署这些安全标头有助于保护您的⽹站免受XSS,代码注⼊,clickjacking的侵扰。
当⽤户通过浏览器访问站点时,服务器使⽤HTTP响应头进⾏响应。这些header告诉浏览器如何与站点通信。它们包含了⽹站的metadata。您可以利⽤这些信息概括整个通信并提⾼安全性。本⽂将依次介绍HTTP协议安全相关header。
1、强制使⽤https传输,HTTP Strict Transport Security (HSTS)
在各种劫持⼩⼴告+多次跳转的⽹络环境下,可以有效缓解此类现象。同时也可以⽤来避免从https降级到http攻击(SSL Strip)
服务器设置响应头:Strict-Transport-Security: max-age=31536000 ; includeSubDomains即可开启
该策略只适⽤于80、443端⼝。
有些⽹站并不是全站https⽐如图⽚,毕竟使⽤https对服务器性能要求更⾼,中间⼈攻击仍然可以修改⽤户看到的图⽚。
2、安全策略(CSP)
HTTP内容安全策略响应标头通过赋予⽹站管理员权限来限制⽤户被允许在站点内加载的资源,从⽽为⽹站管理员提供了⼀种控制感。 换句话说,您可以将⽹站的内容来源列⼊⽩名单。
内容安全策略可防⽌跨站点脚本和其他代码注⼊攻击。 虽然它不能完全消除它们的可能性,但它确实可以将损害降⾄最低。 ⼤多数主流浏览器都⽀持CSP,所以兼容性不成问题。
Content-Security-Policy: ;
3、跨站XSS防护,X-XSS-Protection
开启浏览器端的xss防护,减少反射xss对⽤户的危害(chrome浏览器默认开启)
4、阻⽌⽹站被嵌套,X-Frame-Options
⽹站被嵌套,可能出现clickhijacking等攻击
服务器配置响应头:X-Frame-Options: deny/sameorigin/allow-from: DOMAIN
因为X-Frame-Options只检测与top窗⼝的关系,若有多层嵌套victim{hacker{victim,则可以绕过,
ssl协议未开启的危害另外主页⾯可以监听事件onBeforeUnload可以取消iframe的跳转;iframe的sandbox属性可以禁⽤iframe中的j 所以需要配合csp规则的Content-Security-Policy: frame-ancestors 'self';
5、配置多种安全策略,Content-Security-Policy
可以定义许多安全策略,script-src,frame-src ,referrer等
服务器配置响应头:Content-Security-Policy: script-src 'self'
6、响应内容探测,X-Content-Type-Options
有些服务器响应内容未设置content-type,浏览器会⾃动检测内容type(MIME⾃识别),会出现编码相关的安全问题(IE和chrome会忽略content-type ⾃⾏推测⽹页格式、编码等,会出现IE的utf-7 xss绕过等bug)
服务器配置响应头:X-Content-Type-Options: nosniff
时代在进步在发展,我们的⽣活越来越离不开⽹络,可以说⽹络承载着我们⼤部分的⽣活,稍不注意就
会裸露在不法分⼦⼿上。为⽹站部署SSL证书进程已势不可挡,数安时代建议⼴⼤站长或企业⽹站负责⼈尽早为⽹站部署合适的SSL证书.
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论