免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

響應(yīng)頭文件安全策略

針對(duì)當(dāng)前環(huán)境下，對(duì)網(wǎng)絡(luò)安全的要求較高，平臺(tái)的搭建從各個(gè)方面都在增強(qiáng)安全性。以下是從http頭文件的方面，利用參數(shù)設(shè)置開(kāi)啟瀏覽器的安全策略，來(lái)實(shí)現(xiàn)相關(guān)的安全機(jī)制。由于目前的服務(wù)環(huán)境未nginx，所以配置都針對(duì)NGINX的設(shè)置，如果是tomcat，同理網(wǎng)上找對(duì)應(yīng)的修改參數(shù)即可。

（注：不全面的部分，后續(xù)會(huì)進(jìn)行補(bǔ)充）

全部配置如下：

add_header Content-Security-Policy "default-src 'self' xxx.xxx.com(允許的地址)
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header X-Frame-Options SAMEORIGIN;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header 'Referrer-Policy' 'origin'; 
add_header X-Download-Options noopen;
add_header X-Permitted-Cross-Domain-Policies none;

說(shuō)明如下：

Content-Security-Policy

內(nèi)容網(wǎng)頁(yè)安全策略，為了解決（緩解，實(shí)際上好像不能完全解決XSS攻擊）制定的策略，要求請(qǐng)求頭增加Content-Security-Policy配置，提供加載靜態(tài)資源的白名單策略。

應(yīng)對(duì)漏洞：XSS攻擊

配置策略：

• script-src：外部腳本
• style-src：樣式表
• img-src：圖像
• media-src：媒體文件（音頻和視頻）
• font-src：字體文件
• object-src：插件（比如 Flash）
• child-src：框架
• frame-ancestors：嵌入的外部資源（比如<frame>、<iframe>、<embed>和<applet>）
• connect-src：HTTP 連接（通過(guò) XHR、WebSockets、EventSource等）
• worker-src：worker腳本
• manifest-src：manifest 文件

通過(guò)上訴配置，來(lái)控制平臺(tái)只能執(zhí)行同源的或者規(guī)定源（網(wǎng)址）的js、css等腳本。該配置由瀏覽器執(zhí)行，啟動(dòng)后，不符合規(guī)則的外部資源就會(huì)被拒絕，從而一定程度屏蔽了XSS攻擊。

示例：script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:

說(shuō)明：script只接受同源的  ,object對(duì)象不接受，css只接受cdn.example.org third-party.org網(wǎng)址的 ，網(wǎng)站支持吃https的（這個(gè)好像不好使，后面有其他策略來(lái)實(shí)現(xiàn)這個(gè)）

nginx配置：add_header Content-Security-Policy "default-src 'self' xxx.xxx.com(允許的地址)  允許本域名和后邊的域名腳本可以執(zhí)行

此配置有很多細(xì)節(jié)的控制，詳見(jiàn)http://www.ruanyifeng.com/blog/2016/09/csp.html

注意：此配置會(huì)屏蔽范圍外的腳本，如果是已經(jīng)上線的系統(tǒng)，需要考慮下是否有引入外部腳本的情況，避免盲目增加配置，導(dǎo)致生產(chǎn)事故。慎用。。

X-Content-Type-Options

約定資源的響應(yīng)頭，屏蔽內(nèi)容嗅探攻擊。

應(yīng)對(duì)漏洞：內(nèi)容嗅探攻擊

網(wǎng)絡(luò)請(qǐng)求中，每個(gè)資源都有自己的類型，比如Content-Type:text/html 、image/png、 text/css。但是有一些資源的類型是未定義或者定義錯(cuò)了，導(dǎo)致瀏覽器會(huì)猜測(cè)資源類型，嘗試解析內(nèi)容，從而給了腳本攻擊可乘之機(jī)。比如利用一個(gè)圖片資源去執(zhí)行一個(gè)惡意腳本。

通過(guò)設(shè)置 X-Content-Type-Options: nosniff ，瀏覽器嚴(yán)格匹配資源類型，會(huì)拒絕加載錯(cuò)誤或者不匹配的資源類型。（PS：排查問(wèn)題過(guò)程中，網(wǎng)上看到一個(gè)人用流的方式從后臺(tái)給前臺(tái)傳圖片，大概代碼<img src="xxxxx.xxxx.do"> 由于后端未指定資源類型，導(dǎo)致增加該配置后無(wú)法顯示圖片）

nginx配置：add_header X-Content-Type-Options "nosniff";

X-XSS-Protection

開(kāi)啟瀏覽器XSS防護(hù)(原理不明，待研究.好像是瀏覽器自己有個(gè)filter，能過(guò)濾xss攻擊腳本)。開(kāi)啟后不會(huì)影響業(yè)務(wù)，無(wú)特殊情況，建議開(kāi)啟。

應(yīng)對(duì)漏洞：XSS攻擊

配置參數(shù)：

X-XSS-Protection: 0 關(guān)閉防護(hù)
X-XSS-Protection: 1 開(kāi)啟防護(hù)
X-XSS-Protection: 1; mode=block 開(kāi)啟防護(hù) 如果被攻擊，阻止腳本執(zhí)行。

nginx配置：add_header X-XSS-Protection "1; mode=block";

X-Frame-Options

開(kāi)個(gè)此屬性，控制頁(yè)面是否可以用于ifream中，如果使用，是什么范圍。也可以通過(guò)這個(gè)控制來(lái)避免自己的資源頁(yè)面被其他頁(yè)面引用。

應(yīng)對(duì)漏洞：點(diǎn)擊劫持

攻擊者會(huì)用一個(gè)自己網(wǎng)站，用ifream或者fream嵌套的方式引入目標(biāo)網(wǎng)站，誘使用戶點(diǎn)擊。從而劫持用戶點(diǎn)擊事件。

配置的三個(gè)參數(shù)：

deny 標(biāo)識(shí)該頁(yè)面不允許在frame中展示，即便在相同域名的頁(yè)面中嵌套也不行。

sameorigin 可以在同域名的頁(yè)面中frame中展示

allow-form url 指定的fream中展示。

nginx配置:add_header X-Frame-Options SAMEORIGIN;

Strict-Transport-Security

告訴瀏覽器只能通過(guò)https訪問(wèn)當(dāng)前資源。

nginx配置：add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

說(shuō)明：在接下來(lái)的一年（即31536000秒）中，瀏覽器只要向xxx或其子域名發(fā)送HTTP請(qǐng)求時(shí)，必須采用HTTPS來(lái)發(fā)起連接。

Referrer-Policy

用來(lái)規(guī)定什么情況下顯示referer字段，以及referer字段顯示的內(nèi)容多少。

漏洞說(shuō)明：

當(dāng)用戶在瀏覽器上點(diǎn)擊一個(gè)鏈接時(shí)，會(huì)產(chǎn)生一個(gè) HTTP 請(qǐng)求，用于獲取新的頁(yè)面內(nèi)容，而在該請(qǐng)求的報(bào)頭中，會(huì)包含一個(gè) Referrer，用以指定該請(qǐng)求是從哪個(gè)頁(yè)面跳轉(zhuǎn)頁(yè)來(lái)的，常被用于分析用戶來(lái)源等信息。但是也成為了一個(gè)不安全的因素，所以就有了 Referrer-Policy，用于過(guò)濾 Referrer 報(bào)頭內(nèi)容，其可選的項(xiàng)有： no-referrer no-referrer-when-downgrade origin origin-when-cross-origin same-origin strict-origin strict-origin-when-cross-origin unsafe-url .

配置參數(shù)：

no-referrer-when-downgrade：在同等安全等級(jí)下（例如https頁(yè)面請(qǐng)求https地址），發(fā)送referer，但當(dāng)請(qǐng)求方低于發(fā)送方（例如https頁(yè)面請(qǐng)求http地址），不發(fā)送referer
origin：僅僅發(fā)送origin，即protocal+host
origin-when-cross-origin：跨域時(shí)發(fā)送origin
same-origin：當(dāng)雙方origin相同時(shí)發(fā)送
strict-origin：當(dāng)雙方origin相同且安全等級(jí)相同時(shí)發(fā)送
unfafe-url：任何情況下都顯示完整的referer

nginx配置：add_header 'Referrer-Policy' 'origin'; 

注意：此配置可能會(huì)導(dǎo)致某些系統(tǒng)訪問(wèn)率統(tǒng)計(jì)插件失效，如果有此類業(yè)務(wù)，一定要驗(yàn)證下。

X-Permitted-Cross-Domain-Policies

一個(gè)針對(duì)flash的安全策略，用于指定當(dāng)不能將"crossdomain.xml"文件（當(dāng)需要從別的域名中的某個(gè)文件中讀取 Flash 內(nèi)容時(shí)用于進(jìn)行必要設(shè)置的策略文件）放置在網(wǎng)站根目錄等場(chǎng)合時(shí)采取的替代策略。

配置參數(shù)：

X-Permitted-Cross-Domain-Policies: master-only

master-only 只允許使用主策略文件（/crossdomain.xml）

add_header X-Permitted-Cross-Domain-Policies none;

X-Download-Options

用于控制瀏覽器下載文件是否支持直接打開(kāi)，如果支持直接打開(kāi)，可能會(huì)有安全隱患。

配置信息：X-Download-Options: noopen

noopen 用于指定IE 8以上版本的用戶不打開(kāi)文件而直接保存文件。在下載對(duì)話框中不顯示“打開(kāi)”選項(xiàng)。

nginx配置：add_header X-Download-Options noopen;

cookie

在head中可以設(shè)置cookie的參數(shù)，來(lái)組合實(shí)現(xiàn)一些安全策略。

secure

Secure屬性是說(shuō)如果一個(gè)cookie被設(shè)置了Secure=true，那么這個(gè)cookie只能用https協(xié)議發(fā)送給服務(wù)器

HttpOnly

設(shè)置HttpOnly=true的cookie不能被js獲取到，無(wú)法用document.cookie打出cookie的內(nèi)容。

nginx:proxy_cookie_path / "/; Path=/; Secure; HttpOnly";