对于js和静态HTML页面,是否可以忽略headers?
对于js和静态HTML页面,是否可以忽略headers?
提问于 2016-03-01 06:47:59
我正在执行一个网站的安全扫描,ZAP工具报告说,js和静态HTML页面缺少一些安全的标题。可以忽略警报吗?
回答 1
Security用户
发布于 2016-03-02 01:38:28
我认为它的意思是,您需要保护您的站点免受XSS攻击,执行您的js/css来源。
1.内容-安全性-策略:允许您限制原始
Content-Security-Policy: script-src 'self'
https://apis.google.com2. x帧-选项:停止单击
X-Frame-Options: DENY3. X-内容-类型-选项:强制执行内容类型
X-Content-Type-Options: nosniff
Content-Type: text/plain4.严格的传输-安全性:强制执行HTTPS
Strict-Transport-Security: max-age=31536000; includeSubDomains5. x请求-With:防止CSRF攻击
X-Requested-With: XMLHttpRequest请注意,这些标头中有些并不是所有浏览器兼容的。阅读下面的源链接,并使用您认为适合您的项目。
来源:https://www.ibuildings.nl/blog/2013/03/4-http-security-headers-you-should-always-be-using
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/116110
复制相关文章
相似问题
腾讯云开发者
