当前位置：移动技术网 > IT编程>网页制作>CSS > 一些安全相关的HTTP header

一些安全相关的HTTP header

2018年12月18日 | 移动技术网IT编程 | 我要评论

1.strict-transport-security

http strict-transport-security，简称为hsts。
作用：允许一个https网站，要求浏览器总是通过https访问它。

strict-transport-security: max-age=16070400; includesubdomains

includesubdomains，可选，用于指定是否作用于子域名
支持hsts的浏览器遇到这个响应头，会把当前网站加入hsts列表，然后在max-age指定的秒数内，当前网站所有请求都会被浏览器重定向为https。
chrome内置了一个hsts列表，默认包含google、paypal、twitter、linode等服务。输入chrome://net-internals/#hsts，进入hsts管理界面，可以增加/删除/查询hsts记录。

2.x-frame-options：是否允许一个页面可在<frame>、<iframe>、<object>中展现的标记。

作用：减少/避免点击劫持 (clickjacking) 的攻击。
使用方式如下：

x-frame-options: sameorigin

响应头支持三种配置：

deny:表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。
sameorigin:表示该页面可以在相同域名页面的 frame 中展示。
allow-from uri:表示该页面可以在指定来源的 frame 中展示。

3.x-xss-protection

作用：防范xss攻击。
ps：这个是旧属性，基本上可以被csp取代，但是仍可以为还没有支持csp的浏览器提供一层保护。
主流浏览器默认都开启了xss保护。
使用方式如下：

x-xss-protection: 1; mode=block; report=/_/http-sec-report

支持配置：

0:禁止xss保护
1:启用xss保护:启用xss保护，浏览器检测到xss攻击会自动过滤非安全部分内容
1;mode=block:启用xss保护，并在检测到xss攻击的时候停止渲染页面
1;report=:启用xss保护，检测到xss攻击的时候，浏览器会自动过滤非安全内容，同时上报到指定uri。

4.x-content-type-options

作用：禁用浏览器的content-type猜测行为。

背景：
浏览器通常会根据响应头content-type字段来分辨资源类型。有些资源的content-type是错的或者未定义。这时，浏览器会启用mime-sniffing来猜测该资源的类型，解析内容并执行。
利用这个特性，攻击者可以让原本应该解析为图片的请求被解析为javascript。

使用方法：

x-content-type-options: nosniff

5.x-content-security-policy（旧版）/content-security-policy

作用：用于定义页面可以加载哪些资源，减少和上报xss的攻击，防止数据包嗅探攻击。

响应头：

content-security-policy
x-content-security-policy
x-webkit-csp

使用方法：

content-security-policy: default-src 'self'

一个策略由一系列策略指令组成，每个策略指令都描述了一个针对某个特定类型资源以及生效范围的策略。
default-src是csp指令，多个指令之间使用英文分号分割；
self是指令值，多个指令值用英文空格分割。
支持的csp指令

元素也可以用于配置csp：

<meta http-equiv="content-security-policy" content="default-src 'self'; img-src https://*; child-src 'none';">

指令	指令值示例	说明
default-src	'self' cnd.a.com	定义针对所有类型资源的默认加载策略，某类型资源如果没有单独定义策略，就使用默认的。
script-src	'self' js.a.com	定义针对javascript的加载策略
style-src	'self' css.a.com	定义针对样式的加载策略
img-src	'self' img.a.com	定义针对图片的加载策略
connect-src	'self'	针对ajax、websocket等请求的加载策略。不允许的情况下，浏览器会模拟一个状态为400的响应。
font-src	font.a.com	针对webfont的加载策略
object-src	'self'	针对<object>、<embed>、<applet>等标签引入的flash等插件的加载策略
media-src	media.a.com	针对<audio>、<video>等标签引入的html多媒体的加载策略。
frame-src	'self'	针对frame的加载策略
sanbox	allow-forms	对请求的资源启用sandbox（类似于iframe的sandbox属性）
report-uri	/report-uri	告诉浏览器如果请求不被策略允许，往哪个地址提交日志信息。如果想让浏览器只汇报日志，不阻止任何内容，可以改用 content-security-policy-report-only 头。

指令值可以由下面内容组成：

指令值	指令值示例	说明
img-src	允许任何内容
'none'	img-src 'none'	不允许任何内容
'self'	img-src 'self'	允许来自相同源的内容（相同的协议、域名和端口）。
data:	img-src data:	允许data:协议(如base64编码的图片)
www.a.com	img-src img.a.com	允许加载指定域名的资源
.a.com	img-src .a.com	允许加载a.com任何子域的资源
	img-src	允许加载img.com的https资源
https:	img-src https:	允许加载https资源
'unsafe-inline'	script-src 'unsafe-inline'	允许加载inline资源（例如常见的style属性，onclick, inline js, inline css）。
'unsafe-eval'	script-src 'unsafe-eval'	允许加载动态js代码，例如eval()。

违例报告

document-uri:发生违规的文档的uri。
referrer:违规发生处的文档引用地址
blocked-uri:被csp阻止的资源uri。如果被阻止的uri来自不同的源而非文档uri，则被阻止的资源uri会被删减，仅保留协议、主机和端口号。
violated-directive:违反的策略名称
original-policy:在content-security-policy http header中指明的原始策略。

httponly:防止使用javascript（如document.cookie）去存取cookie
secure:强制cookie只能在https环境下传递

7.referrer-policy

作用：增加隐私保护。

可配置值：

no-referrer: 不允许被记录
origin:只记录origin，即域名
strict-origin:只有在https->https之间才会被记录下来
strict-origin-when-cross-origin:同源请求会发送完整的url；https->https，发送源；降级下不发送此首部。
no-referrer-when-downgrade(default):同strict-origin
origin-when-cross-origin:对于同源的请求，会发送完整的url作为引用地址，但是对于非同源请求仅发送文件的源。
same-origin:对于同源请求会发送完整url，非同源请求则不发送referer
unsafe-url:无论是同源请求还是非同源请求，都发送完整的url（移除参数信息之后）作为引用地址。（可能会泄漏敏感信息）

8.public-key-pins（hpkp）

作用：防止中间人攻击。是https网站防止攻击者利用ca错误签发的证书进行中间人攻击的一种安全机制，用于预防ca遭入侵或者其他会造成ca签发未授权证书的情况。
服务器通过public-key-pins(或public-key-pins-report-onky用于监测)header向浏览器传递http公钥固定信息。

基本格式：

public-key-pins: pin-sha256="base64=="; max-age=expiretime [; includesubdomains][; report-uri="reporturi"]

字段含义：

pin-sha256:即证书指纹，允许出现多次，实际上应用最少指定两个；
max-age:过期时间
includesubdomains:是否包含子域
report-uri:验证失败时上报的地址

安全扫描网站：

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

CSS 控制动画播放与暂停的小技巧(非常实用)

今天要介绍一种很简单的使用 css 控制动画播放与暂停的小技巧。使用好了，可以在很多实际场景得以运用。我们先来看个例子，本例子是我在闲逛 codepen 时看... [阅读全文]
css3 flex布局实现平均分配元素的示例代码

本文主要介绍了css3 flex布局实现平均分配元素，给自己留个笔记，也分享给大家，具体如下：例子一：<!doctype html><html... [阅读全文]
CSS字体、文本、列表属性详细介绍

1.字体属性　　color，规定文本的颜色，如 div{color:red;}　　font-style，规定文本显示方式，如 p.normal {font-st... [阅读全文]
深入理解CSS background-blend-mode的作用机制

本文欢迎分享与聚合，全文转载就不必了，尊重版权，圈子就这么大，若急用可以联系授权。一、可能都知道的首先，讲两点大家可能都知道的知识点：1.background-... [阅读全文]
CSS中的四种定位区别详解

我们都知道，前端开发里面的css中常用的定位方式有普通定位，相对定位，绝对定位、固定定位定位这四种。但是很多零基础的前端小白都不知道这4种定位方式都有什么作用和... [阅读全文]
解决移动端1px边框最好的方法(推荐)

在移动端开发时，经常会遇到在视网膜屏幕中元素边框变粗的问题。本文将带你探讨边框变粗问题的产生原因及介绍目前市面上最好的解决方法。1px 边框问题的由来苹果 ip... [阅读全文]
让CSS flex布局最后一行列表左对齐的N种方法(小结)

引用分享给大家，如果你想进行修改进入链接点到对应的图片生成的链接进入，方可修改。问题描述//html<div class="container&... [阅读全文]
CSS 列表模型之marker标记的使用

本文主要对::master伪元素、list-item下的list-style-image、list-style-type样式属性进行介绍，并介绍了在实际中如何使... [阅读全文]
cubic-bezier处理下拉和回弹

/** * 下拉和回弹 * 1.关闭bounce避免ios端下拉冲突 * 2.由于touchm... [阅读全文]
服装面料加工中英双语网站搭建模板

服装面料定制加工公司中英双语网站搭建模板，首页界面干净高端，服装设计和品牌服饰通用模板，排版整齐干净，使用最新织... [阅读全文]