4个常用的HTTP安全头部

来源:本网整理

深空Web应用防火墙系统软件特性深空Web 应用防火墙系统"是由 福州深空信息技术有限公司 自主研发而成的,具有完全自主知识产权的Web应用防火墙软件产品.在防御Web攻击安全策略上,本产品含有:IIS配置保护、禁止代理访问、IP访问控制(黑名单、白名单、动态白名单(抗应用层CC攻击,应用层DDOS攻击,机器人访问等)、特权IP)、IP访问行为主动防御(抗应用层CC攻击,应用层DDOS攻击)、URL访问次数主动防御(抗应用层CC攻击,应用层DDOS攻击)、防盗链、HTTP通用头部各成员长度检查、HTTP请求头部各成员长度检查、HTTP实体头部各成员长度检查、HTTP用户自定义头部各成员长度检查、HTTP返回头部各成员内容过滤、HTTP请求方式限制、HTTP头部总长检查、URL总长限制、URL参数部分长度限制、URL非参数部分长度限制、URL非参数部分关键字过滤、URL参数部分关键字过滤(白名单策略、黑名单策略、自定义放行关键字和自定义强制拦截关键字)、URL黑名单检查、特权URL检查、URL+IP访问控制、URL请求文件类型检查、POST请求内容过滤、POST请求的URL限制、COOKIE内容关键字过滤、HTTP返回状态码过滤、HTTP返回例外状态码设置、HTTP返回内容过滤(网页内容过滤)、各网站目录每IP最大带宽限制,等30多种安全策略功能.在管理上,本产品采用C/S架构(Client/Server,客户端/服务端)模式,用户可以通过客户端远程管理服务端,功能上有:查看/修改/启用/禁用上述安全策略、限制客户端登录的IP策略(IP白名单策略/IP黑名单策略)、查看/修改产品默认参数(如绑定的IP,监听的端口,不同情形下WAF的相应形式等)、系统控制(重启IIS、关闭IIS、重启服务器、关闭服务器)、管理员用户添加/删除/修改/激活/禁用、普通用户添加/删除/修改/激活/禁用/权限设置(本产品的普通用户这一概念可以方便IDC用户开设Web防火墙网络安全增值服务)、产品日志/Web防火墙拦截日志/管理日志/错误日志 的 查看/删除/下载、日志记录对象管理(可以只记录指定策略的拦截日志)、服务器文件管理(查看/删除文件或文件夹(可批量操作)/新建文件夹/重命名文件或文件夹/上传文件或文件夹(可批量操作)/下载文件或文件夹(可批量操作))、命令行模拟(远程模拟执行 cmd 命令)等功能.本产品研制过程中,研发人员与安全研究人员携手,从入侵的角度思虑黑客可能的攻击手法,继而在产品的安全策略中加以拦截限制,提高产品对黑客的“免疫”程度.本产品研制过程中,研发人员根据网站管理人员对“低管理开销、运行维护价值显性化”的需求,提供了诸如远程策略管理、服务器文件管理、命令行模拟等一系列便利管理功能,充分确保安全与运行维护的高效果和高效率。深空Web 应用防火墙系统提供的业界领先的Web应用攻击防护能力,保证了用户Web应用系统的连续性与高可靠性,有效地降低了安全风险www.zgxue.com防采集请勿采集本网。

由于HTTP是一个可扩展的协议,各浏览器厂商都率先推出了有效的头部,来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么,掌握如何应用,可以提高系统的安全性

它曾是世界性图书馆梦的开始,现在它是全球知识的聚集地,它是目前最流行的,人们将应用都部署之上的万维网。

2.校园是我们与老师的家,安全也要时刻铭记在我们心中,同学们我们共同携起手,让安全永远在校园内。3.同学们,让我们携起手来,共同创造平安校园,生活在平安的蓝天下 4.无论做什么事,都要记着安全第一

它是敏捷的代表,它不是单一的实体,它由客户端和服务端组成,它的功能在不断地强大,它还有标准。

多年的实践证明,常备常用的安全帽、安全带、安全网对保护劳动者在劳动过程中的安全的重要作用。特别在输、配电建设的高处、交叉、重叠作业中,更发挥了它的神奇效果。为了更好的发挥个人防护用品在安全

虽然越来越多的解决方案非常适用于发现什么可行,什么不可行,但它几乎没有一致性,没有易于应用的编程模型。俗话说的好:事情越简单,越安全。简单的事物很难有像XSS,CSRF或点击挟持的漏洞。

!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional w3c根据你声明的版本来检查你的代码是否符合w3c规范 XHTML 1.0 Transitional 是过渡型, 具体的内容很多,想弄清楚还是要多看资料

由于HTTP是一个可扩展的协议,各浏览器厂商都率先推出了有效的头部,来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么,掌握如何应用,可以提高系统的安全性。

Web应用安全防护解决思路:Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效

1.Content-Security-Policy它怎么就那么好?

可以参考下1.起升限位开关:重锤式限位、旋转限位,防止起升行程过极限。起重机的安全防护通常在起升机构设计布置时已完成了,还想了解的话可以来杭州起重机械 http://www.hzlqqz.com/咨询下

怎么才能尽可能不遭受XSS攻击呢?如果有人在你的服务器上写了如下代码浏览器可能不去解析?

< class="msgheader">< class="right">复制代码代码如下:< class="msgborder" id="phpcode2">

<script>alert(1);</script>,

下面是内容安全规范中的说明。

添加内容安全规范头部并赋以适当的值,可以限制下面属性的来源:

< class="msgheader">< class="right">复制代码代码如下:< class="msgborder" id="phpcode3">

script-src: JavaScript code (biggest reason to use this header)

connect-src: XMLHttpRequest, WebSockets, and EventSource.

font-src: fonts

frame-src: frame ulrs

img-src: images

media-src: audio & video

object-src: Flash (and other plugins)

style-src: CSS

需要特别指定的:

Content-Security-Policy: script-src 'self' https://apis.google.com

  这就意味着脚本文件只能来自当前文件或apis.google.com(谷歌的JavaScript CDN)

  另一个有用的特性就是你可以自动应用沙盒模式 于整个站点。如果你想试一试效果,你可以用“Content-Security-Policy-Report-Only”头部运行一下,让浏览器返回一个你选的URL。推荐阅读一下HTML5Rocks上的一篇CSP的介绍。

  有什么收获?

  遗憾的是IE还是只支持沙盒模式,并且用的是“X”前缀。安安卓它支持最新的4.4版。

  当然,它也不是万能的,如果你动态的产生一个JavaScript,黑客还是能把恶意JS植入你的服务器中。包含它不会产生危害,在Chrome、 Firefox 和 iOS都能保护用户。

  支持哪些浏览器?

Unnamed QQ Screenshot20140225201216

 

  在哪还能学到更多它的知识呢?

  HTML5Rocks有不错的关于它的介绍。W3C规范也是个不错的选择。

 2. X-Frame-Options  它有什么好的呢?

  它能阻止点击挟持攻击,只需一句:

X-Frame-Options: DENY

  这可使浏览器拒绝请求该页的数据。 它的值还有“SAMEORIGIN”,可允许同一源的数据。以及“ALLOW FROM http://url-here.example.com”,它可设置源(IE不支持)。

  有什么收获?

  一些厂商不支持这个头部,它可能会被整合到Content-Security-Policy 1.1。但到目前,没人给出足够的理由说不能使用它。

  哪些浏览器支持?

IE Firefox Chrome iOS Safari Android Browser
8+ 3.6.9+ 4.1.249+ ? ?

  (数据来源 Mozilla Developer Network)

  在哪还能学到更多它的知识呢?

  没有多少要学,想了解更多,可访问Mozilla Developer Network 上关于此问题的文章。Coding Horror 上也有比较不错的文章。

 3. X-Content-Type-Options  它有什么好的呢?

  让用户上传文件具有危险性,服务上传的文件危险更大,而且很难获得权限。

  浏览器进行二次猜测服务的Content-Type并不容易,即使内容是通过MIME嗅探获取的。

  X-Content-Type-Options头允许你更有效的告知浏览器你知道你在做什么,当它的值为“nosniff”是才表明Content-Type是正确的。

  GitHub上应用了这一头部,你也可以试试。

  有什么收获?

  虽然这取决于你用户,他们占你正保护的访客的65%,但这个头部只在IE和Chrome中有用。

  哪些浏览器支持?

IE Firefox Chrome iOS Safari Android Browser
8+ - (bug 471020) 1+ - -
  在哪还能学到更多它的知识呢?

  FOX IT上有一篇关于MIME嗅探的优秀文章: MIME 嗅探: 特性还是漏洞? IT Security Stackexchange上也有个专题:X-Content-Type-Options真能防止内容嗅探攻击吗?

 4. Strict-Transport-Security  它有什么好的呢?

  我的在线银行使用的是HTTPS来保证真实性(我确实连接到了自己的银行)及安全性(传输过程进行加密)的。然而,这还是有问题的…

  当我在地址栏中输入”onlinebanking.example.com”时,默认使用的是简单的HTTP。只有当服务器重定向到用户时,才使用能提供安全的HTTPS(理论上并不安全,但实际上很好用)。偏巧的是重定向的过程会给黑客提供中间人攻击。为了解决这一问题,Strict-Transport-Security头部应运而生。

  HTTP的Strict-Transport-Security(HSTS)头部强制浏览器使用HTTPS在指定的时候。比如说,如果你进入 https://hsts.example.com,它会返回这样的头部:

Strict-Transport-Security: max-age=31536000; includeSubDomains

  即使敲入http://hsts.example.com,浏览器也会自动变成https://hsts.example.com. 只要HSTS头部一直有效,浏览器就会默认这么做。在上例的情况下,从发送头部到得到响应,有效性可保持1年。所以,如果我2013年1月1日访问了某网站,知道2014年1月1日,浏览器都会使用HTTPS。但如果我2013年12月31日又访问了一次,那有效期也会变成2014年12月31日。

  有什么收获?

  目前它仅适用于Chrome和Firefox,IE用户依然存在此漏洞。然而它已经成为了IETF的标准,所以说接下IE应该尽快地也使用Strict-Transport-Security头部。

  当然如果使用了HTTPS,就可不必使用此头部了,所以说为什么不用HTTPS呢?切记HTTPS不仅能保证你的内容被加密、不被拦截,还能提供真实性。向用户承诺内容的确来自你。

  使用HTTPS还存在着不同的争论,事实上,博客和这个头部都不是基于HTTPS的,所以争论还会持续很久。

  哪些浏览器支持?

Unnamed QQ Screenshot20140225204130

  在哪还能学到更多它的知识呢?

  Mozilla Developer Network上有一篇不错的文章:HTTP的 Strict Transport Security头部

 如果你正在进行Symfony2或Drupal开发

  了解更多 Symfony2可以看Nelmio安全包,而Drupal 在安全组件模块有详细说明。阅读它们可以使你更了解上述介绍的头部。

 殇之馆: X-Requested-With

  默认情况下jQuery 发送X-Requested-With头。它认为这个头部可以预防伪造跨站请求。然而这个头部不会产生请求,一个用户会话可由第三方发起,比如在浏览器中XMLHttpRequest就可以自定义头部。

  不幸的是,Ruby On Rails 的Ruby框架和Django Python框架的快速创建,虽然这能成为很好的防御手段,但它可以不完全依赖于像Java或Adobe Flash第三方插件了。

总结

  使用以上HTTP头部可帮你快速容易地预防XSS攻击、点击挟持攻击、MIME嗅探和中间人攻击。如果目前还没使用,通过介绍给你,你可以在你的应用或服务器上使用。

  请确保用户的安全性。

  原文链接: Boy Baukema   翻译: 伯乐在线 - smilesisi

一、防火墙的优点:1、防火墙能强化安全策略。2、防火墙能有效地记录Internet上的活动,作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。3、防火墙限制暴露用户点,能够防止影响一个网段的问题通过整个网络传播。4、防火墙是一个安全策略的检查站,使可疑的访问被拒绝于门外。二、缺点:1、防火墙可以阻断攻击,但不能消灭攻击源。2、防火墙不能抵抗最新的未设置策略的攻击漏洞。3、防火墙的并发连接数限制容易导致拥塞或者溢出。4、防火墙对服务器合法开放的端口的攻击大多无法阻止。5、防火墙对待内部主动发起连接的攻击一般无法阻止。6、防火墙本身也会出现问题和受到攻击,依然有着漏洞和Bug。7、防火墙不处理病毒。三、功能:1、防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。2、防火墙具有很好的保护作用:入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机;可以将防火墙配置成许多不同保护级别;高级别的保护可能会禁止一些服务,如视频流等。Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内部3、能强化安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。4、能有效记录Internet上的活动。5、可限制暴露用户点,防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。6、它是安全策略的检查点内容来自www.zgxue.com请勿采集。

免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
Copyright © 2017 www.zgxue.com All Rights Reserved