网站必备的五大HTTP安全标头

HTTP安全标头是网站安全的基本组成部分。在超文本传输协议( Hypertext Transfer Protocol ,HTTP)的请求和响应消息中,协议头部分的那些组件。HTTP安全标头实施后,可防止XSS,代码注入,clickjacking等。

站在用户的角度思考问题,与客户深入沟通,找到墨玉网站设计与墨玉网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:成都网站设计、成都网站制作、企业官网、英文网站、手机端网站、网站推广、申请域名虚拟主机、企业邮箱。业务覆盖墨玉地区。

当用户通过客户端浏览器访问站点时,服务器使用HTTP响应头进行响应。

站长可使用这些标头进行通信并提高Web安全性。下面介绍的五个安全头,它们将为您的网站提供一些急需的保护。

1、HTTP严格传输安全(HSTS)

如一个名为idcbest.com的网站,并且已安装SSL / TLS证书,从HTTP迁移到HTTPS。但很多HTTPS网站,也可以通过HTTP来访问。开发人员的失误或者用户主动输入地址,都有可能导致用户以HTTP访问网站,降低了安全性。

此时,可通过HSTS解决问题,让浏览器默认HTTPS跳转,省去一次HTTP请求。另外,浏览器本地替换可以保证只会发送HTTPS请求,避免被劫持。

要使用HSTS,只需要在HTTPS网站响应头中,加入代码

 
 
 
    
  
  
  
  1. Strict-Transport-Security:max-age =  
    2. 
 
 
 

 
 
 
    
  
  
  
  1. Strict-Transport-Security:max-age = ; includeSubDomains 
    2. 
 
 
 

 
 
 
    
  
  
  
  1. Strict-Transport-Security:max-age = ; preload 
    2.

2、内容安全策略(CSP)

HTTP内容安全策略响应标头通过赋予网站管理员权限,管理网站允许加载的内容。换句话说,用户可以将网站的内容来源列入白名单。

内容安全策略可防止跨站点脚本和其他代码注入攻击。虽然不能完全消除攻击的可能性,但它确实可以将损害降至最低。目前大多数主流浏览器都支持CSP,因此兼容性不成问题。

代码:

 
 
 
    
  
  
  
  1. Content-Security-Policy:  
    2.

3、跨站点脚本保护(X-XSS)

X-XSS头部可以防止跨站脚本攻击。Chrome,IE和Safari默认启用XSS过滤器。此筛选器在检测到跨站点脚本攻击时不会让页面加载。

代码:

 
 
 
    
  
  
  
  1. X-XSS-Protection: 0  
    2. 
  
  
  
  2. X-XSS-Protection: 1  
    3. 
  
  
  
  3. X-XSS-Protection: 1; mode=block  
    4. 
  
  
  
  4. X-XSS-Protection: 1; report= 
    5.

4、X-Frame-Options

在Orkut时代,一种名为“点击劫持”的欺骗技术非常流行。在这种技术中,攻击者愚弄用户点击不在那里的东西。X-Frame-Options,是为了减少点击劫持(Clickjacking)而引入的一个响应头。这是通过禁用网站上存在的iframe来完成的。换句话说,它不会让别人嵌入网站的内容。

句法:

 
 
 
    
  
  
  
  1. X-Frame-Options:DENY 
    2. 
  
  
  
  2. X-Frame-Options:SAMEORIGIN 
    3. 
  
  
  
  3. X-Frame-Options:ALLOW-FROM https://idcbest.com/ 
    4.

5、X-Content-Type-Options

互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:”text/html”代表html文档,”image/png”是PNG图片,”text/css”是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。

X-Content-Type标头提供了针对MIME嗅探的对策。它指示浏览器遵循标题中指示的MIME类型。作为发现资产文件格式的功能,MIME嗅探也可用于执行跨站点脚本攻击。

代码:

 
 
 
    
  
  
  
  1. X-Content-Type-Options:nosniff  
    2.

网站名称:网站必备的五大HTTP安全标头
浏览地址:http://www.hantingmc.com/qtweb/news27/273377.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

关键词优化知识

分类信息网站

品牌网站建设    德阳东方电机技改    成都微信开发    成都网站维护    广汉锦华建材    解决方案    鑫友邦火锅桌    微信小程序开发    成都ssl证书申请    四川柴油发电机    温江做网站    虚拟主机购买    盐亭网站建设    成都400电话    响应式报价    服务器租用    成都网络推广    成都搬家公司    成都网络营销    成都塑料加工