在本文中,我將介紹經常使用的安全頭信息設置,並對每一個響應頭設置給出一個示例。css
內容安全策略(CSP)經常使用來經過指定容許加載哪些資源來防止跨站點腳本攻擊。在接下來所介紹的全部安全頭信息中,CSP 多是建立和維護花費時間最多的並且也是最容易出問題的。在配置你的網站 CSP 過程當中,要當心完全地測試它,由於阻止某些資源有可能會破壞你的網站的功能。html
CSP 的主要目標是減小和報告 XSS 攻擊, XSS 攻擊利用了瀏覽器對於從服務器所獲取的內容的信任。使得惡意腳本有可能在用戶的瀏覽器中執行,由於瀏覽器信任其內容來源,即便有時候這些腳本並不是來自該站點的服務器當中。html5
CSP 經過指定容許瀏覽器加載和執行那些資源,使服務器管理者有能力減小或消除 XSS 攻擊的可能性。 一個 CSP 兼容的瀏覽器將會僅執行從白名單域獲取獲得的腳本文件,忽略全部其餘的腳本(包括內聯腳本)。git
一個最佳的 CSP 多是下面這樣(註釋按照配置值的順序),在站點包含的每一部分資源請求相關都加入域名限制。github
# 全部的內容(好比: JavaScript,image,css,fonts,ajax request, frams, html5 Media等)均來自和站點的同一個源(不包括其子域名)
# 容許加載當前源的圖片和特定源圖片
# 不容許 objects(好比 Flash 和 Java)
# 僅容許當前源的腳本下載和執行
# 僅容許當前源的 CSS 文件下載和執行
# 僅容許當前源的 frames
# 限制 <base> 標籤中的 URL 與當前站點同源
# 僅容許表單提交到當前站點
Content-Security-Policy: default-src 'self'; img-src 'self' https://img.com; object-src 'none'; script-src 'self'; style-src 'self'; frame-ancestors 'self'; base-uri 'self'; form-action 'self';
複製代碼
關於 CSP 更加詳細的介紹能夠看 content-security-policy.com/面試
Strict-Transport-Security(HSTS) 告訴瀏覽器該站點只能經過 HTTPS 訪問,若是使用了子域,也建議對任何該站點的子域強制執行此操做。ajax
一個站點若是接受了一個 HTTP 請求,而後跳轉到 HTTPS,用戶可能在開始跳轉前,經過沒有加密的方式和服務器對話。這樣就存在中間人攻擊的潛在威脅,跳轉過程可能被惡意網站利用來直接接觸用戶信息,而不是原來的加密信息。跨域
網站經過HTTP Strict Transport Security通知瀏覽器,這個網站禁止使用HTTP方式加載,瀏覽器應該自動把全部嘗試使用HTTP的請求自動替換爲HTTPS請求。瀏覽器
# 瀏覽器接受到這個請求後的 3600 秒內的時間,凡是訪問這個域名下的請求都是用https請求
# 指定 includeSubDomains 此規則適用該站點下的全部子域名
Strict-Transport-Security: max-age=3600; includeSubDomains
複製代碼
X-Content-Type-Options 響應頭至關於一個提示標誌,被服務器用戶提示瀏覽器必定要遵循 Content-Type 頭中 MIME 類型的設定,而不能對其進行修改。緩存
它減小了瀏覽器可能「猜想」某些內容不正確的意外應用程序行爲,例如當開發人員將一個頁面標記爲「HTML」,但瀏覽器認爲它看起來像JavaScript並試圖將其呈現爲JavaScript時。這個頭將確保瀏覽器始終按照服務器設置的MIME類型來解析。
X-Content-Type-Options: nosniff
複製代碼
Cache-Control 通用消息頭字段,被用於在 http 請求和響應中,經過指定指令來實現緩存機制。緩存指令是單向的,這意味着在請求中設置的指令,不必定被包含在響應中。
這一個比其餘的稍微複雜一些,由於你可能須要針對不一樣的內容類型使用不一樣的緩存策略。
任何包含有敏感信息的網頁,例如用戶我的信息頁面或客戶結賬頁面,都應該設置爲 no-cache。緣由是防止共享計算機上的某人按下後退按鈕或瀏覽歷史並查看我的信息。
Cache-Control: no-cache
複製代碼
X-Frame-Options 響應頭是用來給瀏覽器指示容許一個頁面能否在 , , 或者 中展示的標記。站點能夠經過確保網站沒有被嵌入到別人的站點裏面,從而避免點擊劫持攻擊。
若是惡意的站點將你的網頁嵌入到 iframe 標籤中, 在你不知道的狀況下打開並點擊惡意網站的某個按鈕,惡意網站可以執行一個攻擊經過運行一些 JavaScript 將捕獲點擊事件到 iframe 中,而後表明你與網站交互。
將 X-Frame-Options 設置爲 deny 能夠禁止該頁面在任何域中的 ifram 標籤中展現。
X-Frame-Options 設置能夠由 CSP 的 frame-ancestors 配置所代替。
X-Frame-Options: DENY # 表示該頁面不容許在 frame 中展現,即使是在相同域名的頁面中嵌套也不容許。
X-Frame-Options: SAMEORIGIN # 表示該頁面能夠在相同域名頁面的 frame 中展現。
X-Frame-Options: ALLOW-FROM uri # 表示該頁面能夠在指定來源的 frame 中展現。
複製代碼
Access-Control-Allow-Origin 響應頭指定了該響應的資源是否被容許與給定的 origin 共享。
能夠被用來可解決瀏覽器的跨域請求。
好比一個站點 A 頁面中發起一個 AJAX 請求到 站點 B, A B 不一樣源。正常狀況下由於瀏覽器的同源策略將不會把 B 的響應結果返回給 A, 除非 B 在響應頭中設置容許 A 站點發起請求。
Access-Control-Allow-Origin: * # 容許全部域請求
Access-Control-Allow-Origin: http://someone.com # 容許特定域請求
複製代碼
Set-Cookie 響應頭被用來由服務器端向客戶端發送 cookie。
# domain: 指定 cookie 能夠送達的域名,默認爲當前域名(不包含子域名)
# Secure: 只有在 https 協議時纔會被髮送到服務端。然而,保密或敏感信息永遠不要在 HTTP cookie 中存儲或傳輸,由於整個機制從本質上來講都是不安全的
# HttpOnly: cookie 不能使用 JavaScript代碼獲取到
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly
複製代碼
X-XSS-Protection 響應頭是Internet Explorer,Chrome和Safari的一個功能,當檢測到跨站腳本攻擊 (XSS)時,瀏覽器將中止加載頁面。
X-XSS-Protection: 1; mode=block # 啓用XSS過濾。若是檢測到 XSS 攻擊,瀏覽器將不會清除頁面,而是阻止頁面加載。
複製代碼
設置 HTTP 頭信息是相對快速和簡單的對於網站的數據保護、XSS 攻擊和點擊劫持等攻擊。有針對性的設置這些頭信息,你的網站的安全性將會有不錯的提升。
關注github每日一道面試題詳解