科普與網(wǎng)站安全相關(guān)的幾個Header

HTTP安全標(biāo)頭是網(wǎng)站安全的基本組成部分。部署這些安全標(biāo)頭有助于保護(hù)您的網(wǎng)站免受XSS,代碼注入，clickjacking的侵?jǐn)_。當(dāng)用戶通過瀏覽器訪問站點時，服務(wù)器使用HTTP響應(yīng)頭進(jìn)行響應(yīng)。這些header告訴瀏覽器如何與站點通信。它們包含了網(wǎng)站的metadata。您可以利用這些信息概括整個通信并提高安全性。

HTTP嚴(yán)格傳輸安全（HSTS），假設(shè)您有一個名為example.com的網(wǎng)站，并且您已安裝SSL / TLS證書并從HTTP遷移到HTTPS。但工作還沒有結(jié)束。很多人在將網(wǎng)站遷移到HTTPS后都會忘了杜絕網(wǎng)站仍能通過HTTP訪問的情況。正因如此，HSTS被引入。如果站點配備了HTTPS，則服務(wù)器會強制瀏覽器通過安全的HTTPS進(jìn)行通信。 如此，便完全消除了HTTP連接的可能性。

Strict-Transport-Security: max-age=Strict-Transport-Security: max-age=; includeSubDomainsStrict-Transport-Security: max-age=; preload

內(nèi)容安全策略（CSP），HTTP內(nèi)容安全策略響應(yīng)標(biāo)頭通過賦予網(wǎng)站管理員權(quán)限來限制用戶被允許在站點內(nèi)加載的資源，從而為網(wǎng)站管理員提供了一種控制感。 換句話說，您可以將網(wǎng)站的內(nèi)容來源列入白名單。內(nèi)容安全策略可防止跨站點腳本和其他代碼注入攻擊。 雖然它不能完全消除它們的可能性，但它確實可以將損害降至最低。 大多數(shù)主流瀏覽器都支持CSP，所以兼容性不成問題。

跨站點腳本保護(hù)（X-XSS），顧名思義，X-XSS頭部可以防止跨站腳本攻擊。 Chrome，IE和Safari默認(rèn)啟用XSS過濾器。 此篩選器在檢測到跨站點腳本攻擊時不會讓頁面加載。X-XSS-Protection:0X-XSS-ProtecTIon:1X-XSS-ProtecTIon:1; mode=blockX-XSS-ProtecTIon:1; report=

X-Frame-選項，在Orkut世代，有一種名為點擊劫持（Clickjacking）的騙術(shù)十分流行。攻擊者讓用戶點擊到肉眼看不見的內(nèi)容。比方說，用戶以為自己在訪問某視頻網(wǎng)站，想把遮擋物廣告關(guān)閉，但當(dāng)你自以為點的是關(guān)閉鍵時會有其他內(nèi)容在后臺運行，并在整個過程中泄露用戶的隱私信息。

X-Frame-選項有助于防范這些類型的攻擊。 這是通過禁用網(wǎng)站上存在的iframe來完成的。 換句話說，它不會讓別人嵌入您的內(nèi)容。X-Frame-OpTIons: DENYX-Frame-Options: SAMEORIGINX-Frame-Options: ALLOW-FROM https://example.com/

X-Content-Type選項，X-Content-Type標(biāo)頭提供了針對MIME嗅探的對策。 它指示瀏覽器遵循標(biāo)題中指示的MIME類型。 作為發(fā)現(xiàn)資產(chǎn)文件格式的功能，MIME嗅探也可用于執(zhí)行跨站點腳本攻擊。