摘要:
(五)浏览器缓存禁用—Cache-Control:no-cache、Pragma:no-cache&Expires:0 Cache-Control: no-cache:这个很容易让人产生误解,使人误以为是响应不被缓存。实际上Cache-Control: no-cache是会被缓存的,只不过每次在向客 阅读全文
摘要:
(四)内容安全策略CSP—Content-Security-Policy 内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层, 阅读全文
摘要:
(三)XSS 攻击防护——X-XSS-Protection X-XSS-Protection 顾名思义,这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置: 0:禁用XSS保护; 1:启用X 阅读全文
摘要:
(二)内容嗅探攻击防护—X-Content-Type-Options 互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源 阅读全文
摘要:
Security Headers--安全头系列 1)CSP 内容安全策略——开启后,请求头部增加 Content-Security-Policy:object-src 'self' 设置 2)XSS 攻击防护——开启后,请求头部增加 X-XSS-Protection:1; mode=block 设置 阅读全文
摘要:
(一)安全防护:X-Frame-Options(点击劫持) 漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可 阅读全文