本文作者:讨厌自己明明不甘平凡,却又不好好努力.周常见为什么要配置HTTP响应头?
本文链接:https://www.cnblogs.com/you-men/p/13387316.html
不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面 。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低 。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的 。
文章插图
而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉这是一个比较严重的“疏忽”,加上还是很有必要的,如果有条件最好是部署一个适合自己站点的X-Content-Security-Policy响应头 。点击劫持【Nginx配置各种响应头防止XSS点击劫持,frame恶意攻击】
# 点击劫持(ClickJacking)是一种视觉上的欺骗手段 。大概有两种方式,# 一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;# 二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;
X-Frame-Options响应头X-Frame-Options HTTP 响应头是微软提出来的一个HTTP响应头,主要用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记 。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持(ClickJacking{注1}) 的攻击 。使用X-Frame-Options有三个值
# DENY# 表示该页面不允许在frame中展示,即使在相同域名的页面中嵌套也不允许# SAMEORIGIN# 表示该页面可以在相同域名页面的frame中展示# ALLOW-FROM url# 表示该页面可以在指定来源的frame中展示
如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载 。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套 。
PS:目前发现这个HTTP响应头会带来的问题就是百度统计中的“热点追踪(页面点击图)”功能会失效,这也说明百度统计的“热点追踪(页面点击图)”使用的是 frame 嵌入引用网页的形式,这时候大家可以使用 X-Frame-Options 的ALLOW-FROM uri来指定百度统计域名为可 frame 嵌入域名即可 。具体在Nginx里可以采用如下的方式添加响应头
# add_header X-Frame-Options:ALLOW-FROM https://tongji.baidu.com;# add_header X-Frame-Options:SAMEORIGIN;
X-Content-Type-Options响应头互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型 。例如:text/html代表html文档,image/png是PNG图片,text/css是CSS样式文档 。然而,有些资源的Content-Type是错的或者未定义 。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行 。
例如,我们即使给一个html文档指定Content-Type为text/plain,在IE8-中这个文档依然会被当做html来解析 。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JAVAScript 。在Nginx里通过下面这个响应头可以禁用浏览器的类型猜测行为:
# X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对MIME 类型 的设定,# 而不能对其进行修改 。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题 。# X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击 。
# add_header X-Content-Type-Options: nosniff;
这个响应头的值只能是nosniff, 可用于IE8+和Chrome
IE的行为受X-Content-Type-Options的影响,如果Web应用没有返回Content-Type,那么IE9、IE11将拒绝加载相关资源 。
# 如果服务器发送响应头 “X-Content-Type-Options: nosniff”,则 script 和 styleSheet# 元素会拒绝包含错误的 MIME 类型的响应 。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击 。
X-Content-Security-Policy响应头W3C 的 Content Security Policy,简称 CSP 。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少 XSS 的发生 。
推荐阅读
- 电脑硬件配置够但玩游戏就是不流畅,这问题可能出在哪里呢?
- 华为防火墙配置上网行为管理,禁止上网,只允许邮件、微信和钉钉
- 自动化测试之读取配置文件
- Docker 安装 Nginx
- Nignx的安装和使用
- 负载均衡解析与Nginx实战
- 女人味|外国男生晒出模仿女生的各种摆拍,画风充满“女人味”,辣眼睛
- 氯化钠注射液起什么作用?
- 华为交换机DHCP配置方法,了解一下?
- 小白必备 头条创作23天,头条收益以及各种数据参考老司机忽略