与http头安全相关的安全选项

由于HTTP是一个可扩展的协议,各浏览器厂商都率先推出了有效的头部,来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么,掌握如何应用,可以提高系统的安全性。 下面就简单介绍一下这些安全头的含义以及效果。

X-Frame-Options

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>,<iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。X-Frame-Options有三个值,分别是:DENY、SAMEORIGIN、ALLOW-FROM

DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM:表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

配置Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置nginx

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

配置IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...</system.webServer>

X-Content-Type-Options

互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:”text/html”代表html文档,”image/png”是PNG图片,”text/css”是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。

例如,我们即使给一个html文档指定Content-Type为”text/plain”,在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。通过下面这个响应头可以禁用浏览器的类型猜测行为:

X-Content-Type-Options: nosniff

这个值固定为 nosniff

Access-Control-Allow-Origin

跨原始资源共享(CORS)允许网站在他们之间共享内容。为了使网站之间安全的跨域获取资源,可以通过设置Access-Control-Allow-Origin来允许指定的网站来跨域获取本地资源。

简单解释

只有当目标页面的response中,包含了 Access-Control-Allow-Origin 这个header,并且它的值里有我们自己的域名时,浏览器才允许我们拿到它页面的数据进行下一步处理。如:

Access-Control-Allow-Origin: http://www.myh0st.net

如果它的值设为 * ,则表示谁都可以用:

Access-Control-Allow-Origin: *

在生产环境中大家都不会使用*,因为这个是非常不安全的。

X-XSS-Protection

X-XSS-Protection 响应头是Internet Explorer,Chrome和Safari的一个功能,当检测到跨站脚本攻击(XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript('unsafe-inline')时,他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。

参数解释

X-XSS-Protection: 0

禁止XSS过滤。

X-XSS-Protection: 1

启用XSS过滤(通常浏览器是默认的)。如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。

X-XSS-Protection: 1; mode=block

启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。

X-XSS-Protection: 1; report=<reporting-uri>

启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。

HTTP Strict Transport Security (HSTS)

HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。

HSTS使 Web 服务器告知浏览器绝不使用 HTTP 访问,在浏览器端自动将所有到该站点的 HTTP 访问替换为 HTTPS 访问。

如何设置

参见:https://linux.cn/article-5266-1.html

Content Security Policy

Content Security Policy是一个计算机的安全标志,主要用来防止跨站脚本请求(XSS)、点击劫持和代码注入攻击。CSP通过定义允许加载脚本的位置和内容来防止恶意代码的加载。

基本用法

CSP由HTTP头的Content-Security-Policy来定义(旧版本为X-Content-Security-Policy),每个HTTP请求最多返回一个CSP头部(多个重复的CSP策略将取并集)。CSP头部的格式为:

Content-Security-Policy: policy

其中,policy参数时一个描述CSP策略指令的字符串。一个policy由两部分组成,名称(约束策略范围)和值(允许脚本执行的路径)。多个Policy间使用逗号分隔。Policy的值由多个源表达式(source-expression)组成,每个源表达式可以是主机、端口、关键字和Base64编码的hash值。

一个常见的CSP头如下图所示:

Self在这里属于源表达式中的关键字类型,代表仅允许链接本地文件,因此通过CSP头成功阻止JavaScript代码的执行:

Alert(1)未执行,并在console中输出CSP禁止加载脚本的信息。

下面给出CSP每个策略的名称所约束的范围:

总结

本文简单介绍了一下关于http header的几个安全选项,有什么不对的地方以及不全的地方可以留言补充,指出来,让我们共同学习成长。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2017-07-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

linux常用下载工具

wget ‐‐output-document=myname.iso http://example.com/file.iso

980
来自专栏北京马哥教育

软件测试工程师必知必会Linux命令

Linux系统有着众多的优点,比如开源、非商业版本免费、多任务多用户操作,因此Linux系统在非桌面领域占有压倒性的市场份额。对于互联网技术工作者来说,掌握常用...

42913
来自专栏极客慕白的成长之路

搭建自己的Git服务器

搭建Git服务器   让我们先看下服务器端SSH访问的配置。在这个例子中,我们使用authorized_keys的方法认证用户。我们假设你的服务器是一个标...

2051
来自专栏跟着阿笨一起玩NET

搭建windows server 2008 r2 FTP 后 开启防火墙无法访问的解决办法

转自http://kkworms.blog.51cto.com/540865/558477

2.4K1
来自专栏决胜机器学习

优化页面访问速度(四) ——前端优化

前端的优化,主要可以通过减少HTTP请求、非实时请求改异步、缓存、文件压缩、CDN加速、独立图片服务器等。

1542
来自专栏java一日一条

Java I/O底层是如何工作的?

缓冲与缓冲的处理方式,是所有I/O操作的基础。术语“输入、输出”只对数据移入和移出缓存有意义。任何时候都要把它记在心中。通常,进程执行操作系统的I/O请求包括数...

702
来自专栏不想当开发的产品不是好测试

find命令小结

背景:由于机器上log日志比较多,所以想写个脚本定时清理日志 find  /apps/logs/log_receiver -mtime +7 -name "*[...

2075
来自专栏java一日一条

Java I/O底层是如何工作的?

本博文主要讨论I/O在底层是如何工作的。本文服务的读者,迫切希望了解Java I/O操作是在机器层面如何进行映射,以及应用运行时硬件都做了什么。假定你熟悉基本的...

1194
来自专栏上善若水

S005SELinux(SEAndroid)的实际文件组成无标题文章

SEAndroid 是将SELinux 移植到Android 上的产物,可以看成SELinux 辅以一套适用于Android 的策略。

1965
来自专栏云计算教程系列

使用mysqldump备份MySQL或MariaDB

在日常维护工作当中经常会需要对数据进行导出操作,而mysqldump是导出数据过程中使用非常频繁的一个工具。本文将简介MySQL如何使用mysqldump工具进...

1383

扫码关注云+社区

领取腾讯云代金券