HTTP 協議中 Web 安全相關的 HTTP 頭

(參考:https://imququ.com/post/web-security-and-response-header.html#toc-0

Content-Security-Policy

  1. 只允許本站資源:
    Content-Security-Policy: default-src ‘self’
  2. 允許本站的資源以及任意位置的圖片以及http://trustedscripts.example.com 下的腳本:
    Content-Security-Policy: default-src ‘self’; img-src *; script-src http://trustedscripts.example.com

secure/HttpOnly cookie

  1. secure屬性
    當設置為true時,表示創建的 Cookie 會被以安全的形式向服務器傳輸,也就是只能在 HTTPS 連接中被瀏覽器傳遞到服務器端進行會話驗證,如果是 HTTP 連接則不會傳遞該信息,所以不會被竊取到Cookie 的具體內容。
  2. HttpOnly屬性
    如果在Cookie中設置了"HttpOnly"屬性,那么通過程序(JS腳本、Applet等)將無法讀取到Cookie信息,這樣能有效的防止XSS攻擊。

X-XSS-Protection: 1; mode=block

指定 1 為開啟瀏覽器 XSS 防御機制。
指定 mode=block 為當瀏覽器檢測到 XSS 攻擊是不再渲染頁面。

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容