http请求头的安全策略

javascript
  目录
  1. 1. http请求头的安全策略
    1. 1.1. 1.X-Frame-Options
    2. 1.2. 2.Content-Security-Policy
  2. 2. 3.X-Content-Type-Options
    1. 2.1. 4.X-XSS-Protection

http请求头中相关安全的头字段

http请求头的安全策略

我们的项目在经过开发,测试之后,还得经过安全小组的安全漏斗扫描,经常会暴漏一些返回头缺少安全字段的漏洞,今天我稍加整理常用的几个。
如果想了解更多的请求头和响应头的字段信息,可以看本站另一篇文章,这里

1.X-Frame-Options

如果网站可以嵌入到IFRAME元素中,则攻击者可以在社交场合设计一种情况,即受害者被指向攻击者控制的网站,该网站构成目标网站的框架。然后攻击者可以操纵受害者在目标网站上不知不觉地执行操作。即使有跨站点请求伪造保护,这种攻击也是可能的,并且被称为“clickjacking”,有关更多信息,请参阅。为了避免这种情况,创建了“X-Frame-Options”标题。此标题允许网站所有者决定允许哪些网站构建其网站。
通常的建议是将此标头设置为“SAMEORIGIN”,它只允许属于同源策略的资源构成受保护资源的框架,或者设置为“DENY”,它拒绝任何资源(本地或远程)尝试框架也提供“X-Frame-Options”标头的资源。如下所示:
X-Frame-Options:SAMEORIGIN
请注意,“X-Frame-Options”标题已被弃用,将由内容安全策略中的Frame-Options指令替换,该指令仍处于活动开发阶段。但是,“X-Frame-Options”标题目前具有更广泛的支持,因此仍应实施安全措施。
说白了呢,就是让你的网站禁止被嵌套。
demo:

1
2
3
4
5
<httpProtocol>
  <customHeaders>
    <add name="X-Frame-Options" value="SAMEORIGIN" />
  </customHeaders>
</httpProtocol>

2.Content-Security-Policy

内容安全策略(CSP)旨在允许Web应用程序的所有者通知客户端浏览器有关应用程序的预期行为(包括内容源,脚本源,插件类型和其他远程资源),这允许浏览器更多智能地执行安全约束。虽然CSP本质上是复杂的,如果没有适当部署它可能会变得混乱,一个应用良好的CSP可以大大降低利用大多数形式的跨站点脚本攻击的机会。
需要整个帖子来深入了解CSP允许的功能和不同设置,因此建议进一步阅读。以下是Mozilla开发者网络对CSP的精彩介绍性帖子
下面的简要示例显示了如何使用CSP指定您的网站希望从任何URI加载图像,从受信任的媒体提供商(包括内容分发网络)列表中插入插件内容,以及仅从您控制的服务器加载脚本:

1
Content-Security-Policy:default-src'self'; img-src *; object-src media1.example.com media2.example.com * .cdn.example.com; script-src trustedscripts.example.com

请注意,使用CSP的主要问题涉及策略错误配置(即使用“不安全内联”),或使用过于宽松的策略,因此在实施CSP时应特别注意。
这个呢,是将你引入的一切,加一个限制,这样如果别人想通过一些手段在你的网站加一些不好的东西,我们就可以有效地防止了。
demo:

1
2
3
4
5
<httpProtocol>
  <customHeaders>
    <add name="Content-Security-Policy" value="script-src 'unsafe-inline' http://localhost:56504; object-src 'none'; style-src 'unsafe-inline' http://localhost:56504;" />
    </customHeaders>
  </httpProtocol>

其中预设值有以下这些:

  • none 不匹配任何东西。
  • self 匹配当前域,但不包括子域。比如 example.com 可以,api.example.com 则会匹配失败。
  • unsafe-inline 允许内嵌的脚本及样式。是的,没看错,对于页面中内嵌的内容也是有相应限制规则的。
  • unsafe-eval 允许通过字符串动态创建的脚本执行,比如 eval,setTimeout 等。

3.X-Content-Type-Options

互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:”text/html”代表html文档,”image/png”是PNG图片,”text/css”是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。
例如,我们即使给一个html文档指定Content-Type为”text/plain”,在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。通过下面这个响应头可以禁用浏览器的类型猜测行为:

1
X-Content-Type-Options: nosniff

demo:

1
2
// php
header("X-Content-Type-Options:nosniff");

4.X-XSS-Protection

顾名思义,这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置:

  • 0:禁用XSS保护;
  • 1:启用XSS保护;
  • 1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);
    浏览器提供的XSS保护机制并不完美,但是开启后仍然可以提升攻击难度,总之没有特别的理由,不要关闭它。
    demo:
    1
    2
    // php
    header("X-XSS-Protection: 1");
  网络基础   web安全