摘要:本文簡(jiǎn)單介紹與安全相同的響應(yīng)頭部�����,內(nèi)容整理自。參數(shù)參數(shù)說(shuō)明指定的時(shí)間秒范圍內(nèi)瀏覽器總是使用來(lái)訪問(wèn)可選參數(shù)���,是否同時(shí)應(yīng)用于當(dāng)前域名的所有子域名示例是一種防止網(wǎng)站被攻擊者使用錯(cuò)誤發(fā)布或其他欺詐性證書冒充安全證書的安全機(jī)制。
本文簡(jiǎn)單介紹與安全相同的 HTTP 響應(yīng)頭部����,內(nèi)容整理自《OWASP Secure Headers Project》���。
HTTP Strict Transport Security
HTTP Strict Transport Security(HSTS) 是一種網(wǎng)絡(luò)安全策略機(jī)制�,用于防范降級(jí)攻擊(Downgrade Attack)和 Cookie 劫持(Cookie Hijacking)�����。它允許服務(wù)器告訴瀏覽器(或其他代理)只能使用 HTTPS 訪問(wèn)服務(wù)�,禁止使用 HTTP����。實(shí)現(xiàn)了 HSTS 策略的服務(wù)器通過(guò) HTTPS 鏈接的 Strict-Transport-Security 頭部告訴客戶端其策略���,HTTP 中的 HSTS 頭部會(huì)被忽略�����。
參數(shù):
| 參數(shù) |
說(shuō)明 |
| max-age=SECONDS |
指定的時(shí)間(秒)范圍內(nèi)瀏覽器總是使用 HTTPS 來(lái)訪問(wèn) |
| includeSubDomains |
可選參數(shù),是否同時(shí)應(yīng)用于當(dāng)前域名的所有子域名 |
示例:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Public Key Pinning Extension for HTTP
HTTP Public Key Pinning (HPKP)是一種防止 HTTPS 網(wǎng)站被攻擊者使用錯(cuò)誤發(fā)布或其他欺詐性證書冒充安全證書的安全機(jī)制����。例如����,攻擊者可能會(huì)欺騙證書頒發(fā)機(jī)構(gòu)��,然后為錯(cuò)誤的為其頒發(fā)證書。
HTTPS 服務(wù)器會(huì)通過(guò)頭部提供一個(gè)公鑰哈希列表���,在后續(xù)的請(qǐng)求中,客戶端期望服務(wù)端在證書鏈中使用其中一個(gè)或多個(gè)公鑰哈希���。想要安全的部署 HPKP,要求具有成熟的部署和管理機(jī)制��,否則主機(jī)可能會(huì)因?yàn)楣潭ǖ揭唤M無(wú)效的公鑰哈希而使得服務(wù)不可用����。一旦成功部署,能夠大大減小中間人攻擊和其他虛假認(rèn)證問(wèn)題�����。
參數(shù):
| 參數(shù) |
說(shuō)明 |
| pin-sha256="" |
Base64 編碼的公鑰信息指紋����,可以指定多個(gè)不同的公鑰 |
| max-age=SECONDS |
指定的時(shí)間(秒)范圍內(nèi)總是使用其中一個(gè)固定的 key |
| includeSubDomains |
可選參數(shù),是否同時(shí)應(yīng)用于所有子域名 |
| report-uri="" |
可選參數(shù)����,pin 校驗(yàn)失敗后的上報(bào)地址 |
示例:
Public-Key-Pins: pin-sha256="d6qzRu9zOECb90Uez27xWltNsj0e1Md7GkYYkVoZWmM="; pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g="; report-uri="http://example.com/pkp-report"; max-age=10000; includeSubDomains
X-Frame-Options
X-Frame-Options 響應(yīng)頭部用于保護(hù)網(wǎng)絡(luò)應(yīng)用遭受點(diǎn)擊劫持(Clickjacking)攻擊��。它用來(lái)控制網(wǎng)站是否顯示其它域的
