HTTP协议安全相关header详解

发布日期：2019-04-04

HTTP安全标头是网站安全的基本组成部分http协议有许多可以增强网站安全性，减少用户被攻击的安全策略，部署这些安全标头有助于保护您的网站免受XSS,代码注入，clickjacking的侵扰。

当用户通过浏览器访问站点时，服务器使用HTTP响应头进行响应。这些header告诉浏览器如何与站点通信。它们包含了网站的metadata。您可以利用这些信息概括整个通信并提高安全性。本文将依次介绍HTTP协议安全相关header。

在各种劫持小广告+多次跳转的网络环境下，可以有效缓解此类现象。同时也可以用来避免从https降级到http攻击(SSL Strip)

服务器设置响应头：Strict-Transport-Security: max-age=31536000 ; includeSubDomains 即可开启

网站（譬如百度）启用该策略后且在有效期之内，用户在浏览器地址栏输入baidu.com后，浏览器不会经历该过程：baidu.com—>http://www.baidu.com—>https://www.baidu.com；而是直接访问https://www.baidu.com

该策略只适用于80、443端口。

有些网站并不是全站https比如图片，毕竟使用https对服务器性能要求更高，中间人攻击仍然可以修改用户看到的图片。

HTTP内容安全策略响应标头通过赋予网站管理员权限来限制用户被允许在站点内加载的资源，从而为网站管理员提供了一种控制感。换句话说，您可以将网站的内容来源列入白名单。

内容安全策略可防止跨站点脚本和其他代码注入攻击。虽然它不能完全消除它们的可能性，但它确实可以将损害降至最低。大多数主流浏览器都支持CSP，所以兼容性不成问题。

Content-Security-Policy: <policy-directive>; <policy-directive>

开启浏览器端的xss防护，减少反射xss对用户的危害（chrome浏览器默认开启）

服务器配置响应头：

X-XSS-Protection: 1; mode=block / 1; report=http://[YOURDOMAIN]/your_report_URI

网站被嵌套，可能出现clickhijacking等攻击

服务器配置响应头：X-Frame-Options: deny/sameorigin/allow-from: DOMAIN

因为X-Frame-Options只检测与top窗口的关系，若有多层嵌套victim{hacker{victim，则可以绕过，

另外主页面可以监听事件onBeforeUnload可以取消iframe的跳转；iframe的sandbox属性可以禁用iframe中的j

所以需要配合csp规则的Content-Security-Policy: frame-ancestors ‘self’；

可以定义许多安全策略，script-src，frame-src ，referrer等

服务器配置响应头：Content-Security-Policy: script-src ‘self’

有些服务器响应内容未设置content-type，浏览器会自动检测内容type（MIME自识别），会出现编码相关的安全问题（IE和chrome会忽略content-type 自行推测网页格式、编码等，会出现IE的utf-7 xss绕过等bug）

以上，是为大家分享的“HTTP协议安全相关header详解”的全部内容，如果用户遇到的问题不能解决，可通过wosign官网客服寻求帮助，凡是选择wosign ssl证书的网站用户，wosign可提供免费一对一的ssl证书技术部署支持，免除后顾之忧。