HTTP安全响应头设置_需要在web应用程序的所有页面上设置以下响应头:x-xss-protection:1; mode=b

HTTP security

1. Content-Security-Policy

控制浏览器能加载的资源来源。

Content-Security-Policy: default-src ‘self’ ‘https://*.demo.com’;

( 可用来预防XSS攻击 )

2. Public-Key-Pins ( 兼容性不佳 )

告诉浏览器当前网站的证书指纹，以及过期时间等其它信息。未来一段时间内，浏览器再次访问这个网站必须验证证书链中的证书指纹，如果跟之前指定的值不匹配，即便证书本身是合法的，也必须断开连接。

Public-Key-Pins: pin-sha256=<main>; pin-sha256=<sub>; max-age=<expireTime> [; includeSubDomains][; report-uri=“reportURI”]

( 可用来预防中间人攻击 )

不足：

• 依赖响应头，首次访问就被劫持的情况下无能为力

3. Strict-Transport-Security

告诉浏览器只能通过HTTPS访问当前资源。

Strict-Transport-Security: max-age=<expireTime>[; includeSubDumains][; preload]

( 可用来预防中间人攻击 )

不足：

• 依赖响应头，首次访问就被劫持的情况下无能为力

4. Cookie security

• 设置Secure： Cookie只应通过被HTTPS协议加密过的请求发送给服务端

  ( 可用来预防中间人攻击 )

• 设置HttpOnly： JS无法通过document.cookie获取带有HttpOnly属性的cookie

Set-Cookie: <token>; Expires=<expireTime>; Secure;HttpOnly

( 可用来预防XSS攻击 )

PS: 即使设置了，敏感信息也不应通过Cookie发送

5. X-Content-Type-Options

用来提示客户端遵循在Content-Type首部中对MIME类型的设定。

X-Content-Type-Options: nosniff

( 可以用来预防文件解析漏洞？ )

6. X-Frame-Options

告诉浏览器页面能否在<frame>、<iframe>、<embed>或<object>中展现

X-Frame-Options: deny ( 禁止 )

X-Frame-Options: sameorigin ( 同源 )

X-Frame-Options: allow-from https://example.com/ ( 自定义信任的网站 )

( 可以用来预防点击劫持攻击 ( 中间人攻击？ ) )

7. X-XSS-Protection

当检测到XSS攻击时，浏览器可根据设置停止加载页面

X-XSS-Protection: 0 ( 禁止XSS过滤 )

X-XSS-Protection: 1 ( 启用XSS过滤，通常浏览器是默认的。 如果检测到跨站脚本攻击，浏览器将清除页面 ( 删除不安全的部分 ) )

X-XSS-Protection: 1; mode=block ( 启用XSS过滤， 如果检测到攻击，浏览去不会清除页面，而是阻止页面加载 )