首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Google要求发布者添加Nosniff响应标题

Google发布了对谷歌浏览器Chrome的安全更新,要求Web开发人员提供Nosniff响应标题来防止黑客通过Web浏览器进行攻击。如果您是SEO、Web开发人员、Web设计人员或站点发布者,那么这个问题很重要。

为什么安全更新很重要

黑客攻击(Spectre & Meltdown)利用访客设备中的漏洞来窃取敏感信息,比如密码。这就产生了一个用户体验问题。

Chrome的升级功能是什么

Chrome升级到67版,引入了一个以前在Beta版中称为站点隔离的特性。站点隔离是防止黑客攻击站点访问者浏览器的一种有效方法。

根据Chrome的开发者页面描述:

站点隔离是Chrome的一个安全特性,为某些类型的安全Bug提供了额外的保护。它可以使不值得信赖的网站更难访问,保护你在其他网站上的账户信息。

站点隔离提供了第二道防线,降低了此类攻击成功的可能性,确保了来自不同网站的页面总是被放到不同的进程中。每个进程都在一个Sandbox中运行,限制了流程的执行。它还可以阻止进程从其他站点接收某些类型的敏感数据。因此,即使恶意网站可以在自己的进程中打破一些规则,也很难从其他网站窃取到数据。

Google想要你做什么

Google的Chrome团队要求开发人员和发布者做两件事,来帮助Chrome的站点隔离功能更有效地工作:

1、检查资源是否使用正确的“Content-Type”响应标题;

2、确保这些资源都有一个Nosniff响应标题。

Chrome 67现在有一个自动处理程序来保护用户免受Spectre和Meltdown的攻击。但是,Google建议Web开发人员不要依赖这个自动处理程序,而是使用Nosniff响应标题明确说明:

当“Nosniff”标题不存在时,Chrome首先会查看文件的开头,以确定它是HTML、XML还是JSON格式,然后再决定是否保护它。如果不能确认,则允许跨站点页面的进程接收响应。这是一种最佳的方法,在保持与现有站点的兼容性的同时,增加了一些有限的保护。我们建议web开发人员添加“Nosniff”标题来保护他们的资源,避免依赖这种“Confirmation Sniffing”方法。

如何添加Nosniff响应标题

首先要做的是检查安全页眉。SecurityHeaders.com是一个免费且容易使用的工具,可以扫描网站,看看他们是否丢失了安全相关的标题。如果需要实现Nosniff响应标题,一种方法是使用Htaccess。

如何在WordPress上添加Nosniff响应标题

如果你在WordPress上,有三个插件可以用来添加几个重要的安全标题,包括Nosniff Header。

第一个插件,据说有3000+用户安装,被称为Security Headers。这是一个很容易使用的插件,最少的设置只为一件事,并做到极致。

第二个插件,已有1000+用户安装,被称为HTTP Headers to Improve Security。这个插件包含了增强安全性的更多特性,包括设置一个CSP(Content-Security-Policy)标题,这有助于防止跨站点脚本和Clickjacking。

第三个插件,已有6000+用户安装,被称为HTTP Headers。易于使用,功能全面。这个插件在易用性和全面性之间取得了平衡。根据你自己的判断,选择适合你的。

注意:如果您正在使用W3总缓存,请确保在更新插件上的设置后清空缓存。否则,设置可能不会生效。

安全响应标题很重要,即使Google Chrome没有要求发布者添加Nosniff响应标题,将其和其他安全响应标题添加到站点仍然是一个不错的选择。

(编译/全球搜 Abby)

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180720G1M2A700?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券