4个常用的HTTP安全头部

它曾是世界性图书馆梦的开始，现在它是全球知识的聚集地，它是目前最流行的，人们将应用都部署之上的万维网。

它是敏捷的代表，它不是单一的实体，它由客户端和服务端组成，它的功能在不断地强大，它还有标准。

虽然越来越多的解决方案非常适用于发现什么可行，什么不可行，但它几乎没有一致性，没有易于应用的编程模型。俗话说的好：事情越简单，越安全。简单的事物很难有像XSS，CSRF或点击挟持的漏洞。

由于HTTP是一个可扩展的协议，各浏览器厂商都率先推出了有效的头部，来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么，掌握如何应用，可以提高系统的安全性。

1.Content-Security-Policy它怎么就那么好？

怎么才能尽可能不遭受XSS攻击呢？如果有人在你的服务器上写了如下代码浏览器可能不去解析？

代码如下:
<script>alert(1);</script>，


下面是内容安全规范中的说明。
添加内容安全规范头部并赋以适当的值，可以限制下面属性的来源：


复制代码代码如下:
script-src: JavaScript code (biggest reason to use this header)
connect-src: XMLHttpRequest, WebSockets, and EventSource.
font-src: fonts
frame-src: frame ulrs
img-src: images
media-src: audio & video
object-src: Flash (and other plugins)
style-src: CSS


需要特别指定的：Content-Security-Policy: script-src 'self' https://apis.google.com

　　这就意味着脚本文件只能来自当前文件或apis.google.com（谷歌的JavaScript CDN）

　　另一个有用的特性就是你可以自动应用 于整个站点。如果你想试一试效果，你可以用“Content-Security-Policy-Report-Only”头部运行一下，让浏览器返回一个你选的URL。推荐阅读一下。

　　有什么收获？

　　遗憾的是IE还是只支持沙盒模式，并且用的是“X”前缀。安安卓它支持最新的4.4版。

　　当然，它也不是万能的，如果你动态的产生一个JavaScript，黑客还是能把恶意JS植入你的服务器中。包含它不会产生危害，在Chrome、Firefox 和 iOS都能保护用户。

　　支持哪些浏览器？

　　在哪还能学到更多它的知识呢？

　　有不错的关于它的介绍。规范也是个不错的选择。

　2. X-Frame-Options　　它有什么好的呢？

　　它能阻止点击挟持攻击，只需一句：

X-Frame-Options: DENY

　　这可使浏览器拒绝请求该页的数据。 它的值还有“SAMEORIGIN”，可允许同一源的数据。以及“ALLOW FROM )

　　在哪还能学到更多它的知识呢？

　　没有多少要学，想了解更多，可访问上关于此问题的文章。上也有比较不错的文章。

　3. X-Content-Type-Options　　它有什么好的呢？

　　，服务上传的文件危险更大，而且很难获得权限。

　　浏览器进行二次猜测服务的Content-Type并不容易，即使内容是通过MIME嗅探获取的。

　　X-Content-Type-Options头允许你更有效的告知浏览器你知道你在做什么，当它的值为“nosniff”是才表明Content-Type是正确的。

　　上应用了这一头部，你也可以试试。

　　有什么收获？

　　虽然这取决于你用户，他们占你正保护的访客的65%，但这个头部只在IE和Chrome中有用。

　　哪些浏览器支持？

在哪还能学到更多它的知识呢？

　　FOX IT上有一篇关于MIME嗅探的优秀文章： IT Security Stackexchange上也有个专题：

　4. Strict-Transport-Security　　它有什么好的呢？

　　我的在线银行使用的是HTTPS来保证真实性（我确实连接到了自己的银行）及安全性（传输过程进行加密）的。然而，这还是有问题的…

　　当我在地址栏中输入”onlinebanking.example.com”时，默认使用的是简单的HTTP。只有当服务器重定向到用户时，才使用能提供安全的HTTPS（）。偏巧的是重定向的过程会给黑客提供中间人攻击。为了解决这一问题，Strict-Transport-Security头部应运而生。

　　HTTP的Strict-Transport-Security（HSTS）头部强制浏览器使用HTTPS在指定的时候。比如说，如果你进入 ，浏览器也会自动变成，事实上，博客和这个头部都不是基于HTTPS的，所以争论还会持续很久。

　　哪些浏览器支持？

　　在哪还能学到更多它的知识呢？

　　Mozilla Developer Network上有一篇不错的文章：

　如果你正在进行Symfony2或Drupal开发

　　了解更多 Symfony2可以看，而有详细说明。阅读它们可以使你更了解上述介绍的头部。

　殇之馆: X-Requested-With

　　默认情况下jQuery 发送X-Requested-With头。它认为这个头部可以预防伪造跨站请求。然而这个头部不会产生请求，一个用户会话可由第三方发起，比如在浏览器中XMLHttpRequest就可以自定义头部。

　　不幸的是，和的快速创建，虽然这能成为很好的防御手段，但它可以不完全依赖于像Java或Adobe Flash第三方插件了。

总结

　　使用以上HTTP头部可帮你快速容易地预防XSS攻击、点击挟持攻击、MIME嗅探和中间人攻击。如果目前还没使用，通过介绍给你，你可以在你的应用或服务器上使用。

　　请确保用户的安全性。

　　原文链接：    翻译： - smilesisi