它曾是世界性圖書(shū)館夢(mèng)的開(kāi)始,現(xiàn)在它是全球知識(shí)的聚集地,它是目前最流行的,人們將應(yīng)用都部署之上的萬(wàn)維網(wǎng)。

  它是敏捷的代表,它不是單一的實(shí)體,它由客戶(hù)端和服務(wù)端組成,它的功能在不斷地強(qiáng)大,它還有標(biāo)準(zhǔn)。

  雖然越來(lái)越多的解決方案非常適用于發(fā)現(xiàn)什么可行,什么不可行,但它幾乎沒(méi)有一致性,沒(méi)有易于應(yīng)用的編程模型。俗話(huà)說(shuō)的好:事情越簡(jiǎn)單,越安全。簡(jiǎn)單的事物很難有像XSS,CSRF或點(diǎn)擊挾持的漏洞。

  由于HTTP是一個(gè)可擴(kuò)展的協(xié)議,各瀏覽器廠商都率先推出了有效的頭部,來(lái)阻止漏洞利用或提高利用漏洞的難度。了解它們是什么,掌握如何應(yīng)用,可以提高系統(tǒng)的安全性。

 1.Content-Security-Policy

  它怎么就那么好?

  怎么才能盡可能不遭受XSS攻擊呢?如果有人在你的服務(wù)器上寫(xiě)了如下代碼瀏覽器可能不去解析?<s cript>a lert(1);</s cript>,

  下面是內(nèi)容安全規(guī)范中的說(shuō)明。

  添加內(nèi)容安全規(guī)范頭部并賦以適當(dāng)?shù)闹担梢韵拗葡旅鎸傩缘膩?lái)源: 

script-src: JavaScript code (biggest reason to use this header)
connect-src: XMLHttpRequest, WebSockets, and EventSource.
font-src: fonts
frame-src: frame ulrs
img-src: images
media-src: audio & video
object-src: Flash (and other plugins)
style-src: CSS

  需要特別指定的: 

Content-Security-Policy: script-src 'self' https://apis.google.com

  這就意味著腳本文件只能來(lái)自當(dāng)前文件或apis.google.com(谷歌的JavaScript CDN)

  另一個(gè)有用的特性就是你可以自動(dòng)應(yīng)用沙盒模式 于整個(gè)站點(diǎn)。如果你想試一試效果,你可以用“Content-Security-Policy-Report-Only”頭部運(yùn)行一下,讓瀏覽器返回一個(gè)你選的URL。推薦閱讀一下HTML5Rocks上的一篇CSP的介紹

  有什么收獲?

  遺憾的是IE還是只支持沙盒模式,并且用的是“X”前綴。安安卓它支持最新的4.4版。

  當(dāng)然,它也不是萬(wàn)能的,如果你動(dòng)態(tài)的產(chǎn)生一個(gè)JavaScript,黑客還是能把惡意JS植入你的服務(wù)器中。包含它不會(huì)產(chǎn)生危害,在Chrome、 Firefox 和 iOS都能保護(hù)用戶(hù)。

  支持哪些瀏覽器?

Unnamed QQ Screenshot20140225201216

 

  在哪還能學(xué)到更多它的知識(shí)呢?

  HTML5Rocks有不錯(cuò)的關(guān)于它的介紹。W3C規(guī)范也是個(gè)不錯(cuò)的選擇。

 2. X-Frame-Options

  它有什么好的呢?

  它能阻止點(diǎn)擊挾持攻擊,只需一句: 

X-Frame-Options: DENY

  這可使瀏覽器拒絕請(qǐng)求該頁(yè)的數(shù)據(jù)。 它的值還有“SAMEORIGIN”,可允許同一源的數(shù)據(jù)。以及“ALLOW FROM http://url-here.example.com”,它可設(shè)置源(IE不支持)。

  有什么收獲?

  一些廠商不支持這個(gè)頭部,它可能會(huì)被整合到Content-Security-Policy 1.1。但到目前,沒(méi)人給出足夠的理由說(shuō)不能使用它。

  哪些瀏覽器支持?

IE Firefox Chrome iOS Safari Android Browser
8+ 3.6.9+ 4.1.249+ ? ?

  (數(shù)據(jù)來(lái)源 Mozilla Developer Network)

  在哪還能學(xué)到更多它的知識(shí)呢?

  沒(méi)有多少要學(xué),想了解更多,可訪問(wèn)Mozilla Developer Network 上關(guān)于此問(wèn)題的文章。Coding Horror 上也有比較不錯(cuò)的文章。

 3. X-Content-Type-Options

  它有什么好的呢?

  讓用戶(hù)上傳文件具有危險(xiǎn)性,服務(wù)上傳的文件危險(xiǎn)更大,而且很難獲得權(quán)限。

  瀏覽器進(jìn)行二次猜測(cè)服務(wù)的Content-Type并不容易,即使內(nèi)容是通過(guò)MIME嗅探獲取的。

  X-Content-Type-Options頭允許你更有效的告知瀏覽器你知道你在做什么,當(dāng)它的值為“nosniff”是才表明Content-Type是正確的。

  GitHub上應(yīng)用了這一頭部,你也可以試試。

  有什么收獲?

  雖然這取決于你用戶(hù),他們占你正保護(hù)的訪客的65%,但這個(gè)頭部只在IE和Chrome中有用。

  哪些瀏覽器支持?

IE Firefox Chrome iOS Safari Android Browser
8+ - (bug 471020) 1+ - -

  在哪還能學(xué)到更多它的知識(shí)呢?

  FOX IT上有一篇關(guān)于MIME嗅探的優(yōu)秀文章: MIME 嗅探: 特性還是漏洞? IT Security Stackexchange上也有個(gè)專(zhuān)題:X-Content-Type-Options真能防止內(nèi)容嗅探攻擊嗎?

 4. Strict-Transport-Security

  它有什么好的呢?

  我的在線銀行使用的是HTTPS來(lái)保證真實(shí)性(我確實(shí)連接到了自己的銀行)及安全性(傳輸過(guò)程進(jìn)行加密)的。然而,這還是有問(wèn)題的…

  當(dāng)我在地址欄中輸入”onlinebanking.example.com”時(shí),默認(rèn)使用的是簡(jiǎn)單的HTTP。只有當(dāng)服務(wù)器重定向到用戶(hù)時(shí),才使用能提供安全的HTTPS(理論上并不安全,但實(shí)際上很好用)。偏巧的是重定向的過(guò)程會(huì)給黑客提供中間人攻擊。為了解決這一問(wèn)題,Strict-Transport-Security頭部應(yīng)運(yùn)而生。

  HTTP的Strict-Transport-Security(HSTS)頭部強(qiáng)制瀏覽器使用HTTPS在指定的時(shí)候。比如說(shuō),如果你進(jìn)入 https://hsts.example.com,它會(huì)返回這樣的頭部: 

Strict-Transport-Security: max-age=31536000; includeSubDomains

  即使敲入http://hsts.example.com,瀏覽器也會(huì)自動(dòng)變成https://hsts.example.com. 只要HSTS頭部一直有效,瀏覽器就會(huì)默認(rèn)這么做。在上例的情況下,從發(fā)送頭部到得到響應(yīng),有效性可保持1年。所以,如果我2013年1月1日訪問(wèn)了某網(wǎng)站,知道2014年1月1日,瀏覽器都會(huì)使用HTTPS。但如果我2013年12月31日又訪問(wèn)了一次,那有效期也會(huì)變成2014年12月31日。

  有什么收獲?

  目前它僅適用于Chrome和Firefox,IE用戶(hù)依然存在此漏洞。然而它已經(jīng)成為了IETF的標(biāo)準(zhǔn),所以說(shuō)接下IE應(yīng)該盡快地也使用Strict-Transport-Security頭部。

  當(dāng)然如果使用了HTTPS,就可不必使用此頭部了,所以說(shuō)為什么不用HTTPS呢?切記HTTPS不僅能保證你的內(nèi)容被加密、不被攔截,還能提供真實(shí)性。向用戶(hù)承諾內(nèi)容的確來(lái)自你。

  使用HTTPS還存在著不同的爭(zhēng)論,事實(shí)上,博客和這個(gè)頭部都不是基于HTTPS的,所以爭(zhēng)論還會(huì)持續(xù)很久。

  哪些瀏覽器支持?

Unnamed QQ Screenshot20140225204130

  在哪還能學(xué)到更多它的知識(shí)呢?

  Mozilla Developer Network上有一篇不錯(cuò)的文章:HTTP的 Strict Transport Security頭部

 如果你正在進(jìn)行Symfony2或Drupal開(kāi)發(fā)

  了解更多 Symfony2可以看Nelmio安全包,而Drupal 在安全組件模塊有詳細(xì)說(shuō)明。閱讀它們可以使你更了解上述介紹的頭部。

 殤之館: X-Requested-With

  默認(rèn)情況下jQuery 發(fā)送X-Requested-With頭。它認(rèn)為這個(gè)頭部可以預(yù)防偽造跨站請(qǐng)求。然而這個(gè)頭部不會(huì)產(chǎn)生請(qǐng)求,一個(gè)用戶(hù)會(huì)話(huà)可由第三方發(fā)起,比如在瀏覽器中XMLHttpRequest就可以自定義頭部。

  不幸的是,Ruby On Rails 的Ruby框架Django Python框架的快速創(chuàng)建,雖然這能成為很好的防御手段,但它可以不完全依賴(lài)于像Java或Adobe Flash第三方插件了。

 總結(jié)

  使用以上HTTP頭部可幫你快速容易地預(yù)防XSS攻擊、點(diǎn)擊挾持攻擊、MIME嗅探和中間人攻擊。如果目前還沒(méi)使用,通過(guò)介紹給你,你可以在你的應(yīng)用或服務(wù)器上使用。

  請(qǐng)確保用戶(hù)的安全性。

  原文鏈接: Boy Baukema   翻譯: 伯樂(lè)在線 - smilesisi

  哈爾濱品用軟件有限公司致力于為哈爾濱的中小企業(yè)制作大氣、美觀的優(yōu)秀網(wǎng)站,并且能夠搭建符合百度排名規(guī)范的網(wǎng)站基底,使您的網(wǎng)站無(wú)需額外費(fèi)用,即可穩(wěn)步提升排名至首頁(yè)。歡迎體驗(yàn)最佳的哈爾濱網(wǎng)站建設(shè)。