几个有用的 HTTP header

Strict-Transport-Security

强制执行安全 HTTPS 协议,可以有效地阻止中间人攻击。

Header 例子

Strict-Transport-Security: max-age=16070400; includeSubDomains

X-Frame-Options

提供点击劫持保护

deny – 完全禁止 iframe

sameorigin – 不渲染如果起源不匹配(如果你的网站是 example.com,就只能 example.com 能 iframe;example.org
如果想 iframe 你的网站就游览器就不会渲染 example.com)

allow-from: DOMAIN – DOMAIN 可以通过 iframe 渲染网站

例子:

X-Frame-Options: deny

X-XSS-Protection

这个 header 开启最新的 Web 浏览器内置的跨站点脚本攻击(XSS)筛选器。

例子:

X-XSS-Protection: 1; mode=block

X-Content-Type-Options

只有一个值,“nosniff”,防止 IE 浏览器和谷歌 Chrome 浏览器的 MIME嗅探已声明的内容类型。

注意:如果要用户自动安装一个扩展名,一定不能使用这个 header。

例子:

X-Content-Type-Options: nosniff

Content Security Policy

内容安全策略需要政策的悉心调教和精确的定义。如果启用,CSP 对浏览器会影响网页的渲染(例如,默认情况下嵌入式的 JavaScript 被禁用,必须在 CSP header 明确允许)。 CSP 可以防止各种攻击,包括跨站点脚本和其他跨站点注射。

例子:

Content-Security-Policy: default-src 'self'

 

via owasp

免费工具:检查网站 header(英文。检查结果后,有建议提示。)

扩展阅读:nginx 配置文件

Published by

Galovia

九十度博客站长。