标签:asc origin mbed 相同 哪些 2.x 公钥 特定 dir
HTTP Strict-Transport-Security,简称为HSTS。
作用:允许一个HTTPS网站,要求浏览器总是通过HTTPS访问它。
strict-transport-security: max-age=16070400; includeSubDomains
作用:减少/避免点击劫持 (clickjacking) 的攻击。
使用方式如下:
x-frame-options: SAMEORIGIN
响应头支持三种配置:
作用:防范XSS攻击。
PS:这个是旧属性,基本上可以被CSP取代,但是仍可以为还没有支持CSP的浏览器提供一层保护。
主流浏览器默认都开启了XSS保护。
使用方式如下:
X-XSS-Protection: 1; mode=block; report=/_/http-sec-report
支持配置:
作用:禁用浏览器的Content-Type猜测行为。
背景:
浏览器通常会根据响应头Content-Type字段来分辨资源类型。有些资源的Content-Type是错的或者未定义。这时,浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。
利用这个特性,攻击者可以让原本应该解析为图片的请求被解析为JavaScript。
使用方法:
X-Content-Type-Options: nosniff
作用:用于定义页面可以加载哪些资源,减少和上报XSS的攻击,防止数据包嗅探攻击。
响应头:
使用方法:
Content-Security-Policy: default-src 'self'
元素也可以用于配置CSP:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">
指令 | 指令值示例 | 说明 |
---|---|---|
default-src | ‘self‘ cnd.a.com | 定义针对所有类型资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。 |
script-src | ‘self‘ js.a.com | 定义针对JavaScript的加载策略 |
style-src | ‘self‘ css.a.com | 定义针对样式的加载策略 |
img-src | ‘self‘ img.a.com | 定义针对图片的加载策略 |
connect-src | ‘self‘ | 针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。 |
font-src | font.a.com | 针对WebFont的加载策略 |
object-src | ‘self‘ | 针对<object>、<embed>、<applet>等标签引入的flash等插件的加载策略 |
media-src | media.a.com | 针对<audio>、<video>等标签引入的HTML多媒体的加载策略。 |
frame-src | ‘self‘ | 针对frame的加载策略 |
sanbox | allow-forms | 对请求的资源启用sandbox(类似于iframe的sandbox属性) |
report-uri | /report-uri | 告诉浏览器如果请求不被策略允许,往哪个地址提交日志信息。如果想让浏览器只汇报日志,不阻止任何内容,可以改用 Content-Security-Policy-Report-Only 头。 |
指令值可以由下面内容组成:
指令值 | 指令值示例 | 说明 |
---|---|---|
img-src | 允许任何内容 | |
‘none‘ | img-src ‘none‘ | 不允许任何内容 |
‘self‘ | img-src ‘self‘ | 允许来自相同源的内容(相同的协议、域名和端口)。 |
data: | img-src data: | 允许data:协议(如base64编码的图片) |
www.a.com | img-src img.a.com | 允许加载指定域名的资源 |
.a.com | img-src .a.com | 允许加载a.com任何子域的资源 |
https://img.com | img-src https://img.com | 允许加载img.com的https资源 |
https: | img-src https: | 允许加载https资源 |
‘unsafe-inline‘ | script-src ‘unsafe-inline‘ | 允许加载inline资源(例如常见的style属性,onclick, inline js, inline css)。 |
‘unsafe-eval‘ | script-src ‘unsafe-eval‘ | 允许加载动态js代码,例如eval()。 |
作用:增加隐私保护。
可配置值:
作用:防止中间人攻击。是HTTPS网站防止攻击者利用CA错误签发的证书进行中间人攻击的一种安全机制,用于预防CA遭入侵或者其他会造成CA签发未授权证书的情况。
服务器通过Public-Key-Pins(或Public-Key-Pins-Report-Onky用于监测)header向浏览器传递HTTP公钥固定信息。
基本格式:
Public-Key-Pins: pin-sha256="base64=="; max-age=expireTime [; includeSubdomains][; report-uri="reportURI"]
字段含义:
安全扫描网站:https://securityheaders.com/
标签:asc origin mbed 相同 哪些 2.x 公钥 特定 dir
原文地址:https://www.cnblogs.com/amyzhu/p/10134163.html