Google要求发布者添加Nosniff响应标题

Google发布了对谷歌浏览器Chrome的安全更新，要求Web开发人员提供Nosniff响应标题来防止黑客通过Web浏览器进行攻击。如果您是SEO、Web开发人员、Web设计人员或站点发布者，那么这个问题很重要。

为什么安全更新很重要

黑客攻击(Spectre & Meltdown)利用访客设备中的漏洞来窃取敏感信息，比如密码。这就产生了一个用户体验问题。

Chrome的升级功能是什么

Chrome升级到67版，引入了一个以前在Beta版中称为站点隔离的特性。站点隔离是防止黑客攻击站点访问者浏览器的一种有效方法。

根据Chrome的开发者页面描述：

站点隔离是Chrome的一个安全特性，为某些类型的安全Bug提供了额外的保护。它可以使不值得信赖的网站更难访问，保护你在其他网站上的账户信息。

站点隔离提供了第二道防线，降低了此类攻击成功的可能性，确保了来自不同网站的页面总是被放到不同的进程中。每个进程都在一个Sandbox中运行，限制了流程的执行。它还可以阻止进程从其他站点接收某些类型的敏感数据。因此，即使恶意网站可以在自己的进程中打破一些规则，也很难从其他网站窃取到数据。

Google想要你做什么

Google的Chrome团队要求开发人员和发布者做两件事，来帮助Chrome的站点隔离功能更有效地工作：

1、检查资源是否使用正确的“Content-Type”响应标题；

2、确保这些资源都有一个Nosniff响应标题。

Chrome 67现在有一个自动处理程序来保护用户免受Spectre和Meltdown的攻击。但是，Google建议Web开发人员不要依赖这个自动处理程序，而是使用Nosniff响应标题明确说明:

当“Nosniff”标题不存在时，Chrome首先会查看文件的开头，以确定它是HTML、XML还是JSON格式，然后再决定是否保护它。如果不能确认，则允许跨站点页面的进程接收响应。这是一种最佳的方法，在保持与现有站点的兼容性的同时，增加了一些有限的保护。我们建议web开发人员添加“Nosniff”标题来保护他们的资源，避免依赖这种“Confirmation Sniffing”方法。

如何添加Nosniff响应标题

首先要做的是检查安全页眉。SecurityHeaders.com是一个免费且容易使用的工具，可以扫描网站，看看他们是否丢失了安全相关的标题。如果需要实现Nosniff响应标题，一种方法是使用Htaccess。

如何在WordPress上添加Nosniff响应标题

如果你在WordPress上，有三个插件可以用来添加几个重要的安全标题，包括Nosniff Header。

第一个插件，据说有3000+用户安装，被称为Security Headers。这是一个很容易使用的插件，最少的设置只为一件事，并做到极致。

第二个插件，已有1000+用户安装，被称为HTTP Headers to Improve Security。这个插件包含了增强安全性的更多特性，包括设置一个CSP(Content-Security-Policy)标题，这有助于防止跨站点脚本和Clickjacking。

第三个插件，已有6000+用户安装，被称为HTTP Headers。易于使用，功能全面。这个插件在易用性和全面性之间取得了平衡。根据你自己的判断，选择适合你的。

注意:如果您正在使用W3总缓存，请确保在更新插件上的设置后清空缓存。否则，设置可能不会生效。

安全响应标题很重要，即使Google Chrome没有要求发布者添加Nosniff响应标题，将其和其他安全响应标题添加到站点仍然是一个不错的选择。

（编译/全球搜 Abby）