与网站安全有关的5个Header

与网站安全有关的5个Header

HTTP安全标头是网站安全的基本组成部分。部署这些安全标头有助于保护您的网站免受XSS,代码注入，clickjacking的侵扰。

当用户通过浏览器访问站点时，服务器使用HTTP响应头进行响应。这些header告诉浏览器如何与站点通信。它们包含了网站的metadata。您可以利用这些信息概括整个通信并提高安全性。

HTTP严格传输安全（HSTS）

假设您有一个名为example.com的网站，并且您已安装SSL / TLS证书并从HTTP迁移到HTTPS。但工作还没有结束。很多人在将网站迁移到HTTPS后都会忘了杜绝网站仍能通过HTTP访问的情况。正因如此，HSTS被引入。如果站点配备了HTTPS，则服务器会强制浏览器通过安全的HTTPS进行通信。 如此，便完全消除了HTTP连接的可能性。

Strict-Transport-Security: max-age=Strict-Transport-Security: max-age=; includeSubDomainsStrict-Transport-Security: max-age=; preload

内容安全策略（CSP）

HTTP内容安全策略响应标头通过赋予网站管理员权限来限制用户被允许在站点内加载的资源，从而为网站管理员提供了一种控制感。 换句话说，您可以将网站的内容来源列入白名单。

内容安全策略可防止跨站点脚本和其他代码注入攻击。 虽然它不能完全消除它们的可能性，但它确实可以将损害降至最低。 大多数主流浏览器都支持CSP，所以兼容性不成问题。

Content-Security-Policy:

;

跨站点脚本保护（X-XSS）

顾名思义，X-XSS头部可以防止跨站脚本攻击。 Chrome，IE和Safari默认启用XSS过滤器。 此筛选器在检测到跨站点脚本攻击时不会让页面加载。

X-XSS-Protection: 0X-XSS-Protection: 1X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=

X-Frame-选项

在Orkut世代，有一种名为点击劫持（Clickjacking）的骗术十分流行。攻击者让用户点击到肉眼看不见的内容。比方说，用户以为自己在访问某视频网站，想把遮挡物广告关闭，但当你自以为点的是关闭键时会有其他内容在后台运行，并在整个过程中泄露用户的隐私信息。

X-Frame-选项有助于防范这些类型的攻击。 这是通过禁用网站上存在的iframe来完成的。 换句话说，它不会让别人嵌入您的内容。

X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM https://example.com/

X-Content-Type选项

X-Content-Type标头提供了针对MIME嗅探的对策。 它指示浏览器遵循标题中指示的MIME类型。 作为发现资产文件格式的功能，MIME嗅探也可用于执行跨站点脚本攻击。

X-Content-Type-Options: nosniff