当前位置:   article > 正文

X-Frame-Options X-XSS-Protection X-Content-Type-Options 响应头的配置

x-content-type-options

nginx下配置:

Header头设置
通过以下设置可有效防止XSS攻击

  1. add_header X-Frame-Options "SAMEORIGIN";
  2. add_header X-XSS-Protection "1; mode=block";
  3. add_header X-Content-Type-Options "nosniff";

X-Frame-Options: 响应头表示是否允许浏览器加载frame等属性,有三个配置DENY禁止任何网页被嵌入,SAMEORIGIN只允许本网站的嵌套,ALLOW-FROM允许指定地址的嵌套

X-XSS-Protection: 表示启用XSS过滤(禁用过滤为X-XSS-Protection: 0),mode=block表示若检查到XSS攻击则停止渲染页面

X-Content-Type-Options: 响应头用来指定浏览器对未指定或错误指定Content-Type资源真正类型的猜测行为,nosniff 表示不允许任何猜测

在通常的请求响应中,浏览器会根据Content-Type来分辨响应的类型,但当响应类型未指定或错误指定时,浏览会尝试启用MIME-sniffing来猜测资源的响应类型,这是非常危险的

例如一个.jpg的图片文件被恶意嵌入了可执行的js代码,在开启资源类型猜测的情况下,浏览器将执行嵌入的js代码,可能会有意想不到的后果
 

  1. server {
  2. # HTTPS 默认443端口
  3. listen 443 ssl;
  4. # 证书文件配置,指定证书的路径,除了证书路径其他配置都默认
  5. ssl_certificate /usr/local/nginx/ssl/server.crt;
  6. ssl_certificate_key /usr/local/nginx/ssl/server.key;
  7. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  8. ssl_ciphers HIGH:!aNULL:!MD5:!DH;
  9. # host
  10. server_name example.com www.example.com;
  11. #设置长连接
  12. keepalive_timeout 70;
  13. #减少点击劫持
  14. add_header X-Frame-Options DENY;
  15. #禁止服务器自动解析资源类型
  16. add_header X-Content-Type-Options nosniff;
  17. #防XSS攻击
  18. add_header X-XSS-Protection "1; mode=block";
  19. # 默认index
  20. index index.html index.htm index.php default.html default.htm default.php;
  21. # 代码的根目录
  22. root /home/wwwroot/example;
  23. # 访问日志
  24. access_log /home/wwwlogs/example.com.log main;
  25. # 文件的规则(详见http://seanlook.com/2015/05/17/nginx-location-rewrite/index.html)
  26. location / {
  27. try_files $uri $uri/ /index.php$is_args$args;
  28. }
  29. location ~ \.php$ {
  30. try_files $uri =404;
  31. fastcgi_pass 127.0.0.1:9000;
  32. fastcgi_index index.php;
  33. fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  34. include fastcgi_params;
  35. }
  36. location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
  37. expires 30d;
  38. }
  39. location ~ .*\.(js|css)?$ {
  40. expires 12h;
  41. }
  42. }

 tomcat下配置:

  1. <filter>
  2. <filter-name>httpHeaderSecurity</filter-name>
  3. <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  4. <init-param>
  5. <param-name>antiClickJackingOption</param-name>
  6. <param-value>SAMEORIGIN</param-value>
  7. </init-param>
  8. <async-supported>true</async-supported>
  9. </filter>
  10. <filter-mapping>
  11. <filter-name>httpHeaderSecurity</filter-name>
  12. <url-pattern>/*</url-pattern>
  13. </filter-mapping>

 

原文链接:https://blog.csdn.net/weixin_41986096/article/details/108319848

 

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options三个参数:

1、DENY

表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

2、SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示。

3、ALLOW-FROM uri

表示该页面可以在指定来源的frame中展示。

换一句话说,如果设置为DENY,不光在别人的网站frame嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套。正常情况下我们通常使用SAMEORIGIN参数。

Apache配置

需要把下面这行添加到 'site' 的配置中

  1. Header always append X-Frame-Options SAMEORIGIN

 

nginx配置

需要添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置项中,个人来讲喜欢配置在‘server’ 中

  1. #正常情况下都是使用SAMEORIGIN参数,允许同域嵌套
  2. add_header X-Frame-Options SAMEORIGIN;
  3. #允许单个域名iframe嵌套
  4. add_header X-Frame-Options ALLOW-FROM http://whsir.com/;
  5. #允许多个域名iframe嵌套,注意这里是用逗号分隔
  6. add_header X-Frame-Options "ALLOW-FROM http://whsir.com/,https://cacti.org.cn/";

Tomcat配置

在 ‘conf/web.xml’填加以下配置

  1. <filter>
  2. <filter-name>httpHeaderSecurity</filter-name>
  3. <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  4. <init-param>
  5. <param-name>antiClickJackingOption</param-name>
  6. <param-value>SAMEORIGIN</param-value>
  7. </init-param>
  8. <async-supported>true</async-supported>
  9. </filter>
  10. <filter-mapping>
  11. <filter-name>httpHeaderSecurity</filter-name>
  12. <url-pattern>/*</url-pattern>
  13. <dispatcher>REQUEST</dispatcher>
  14. <dispatcher>FORWARD</dispatcher>
  15. </filter-mapping>

X-Frame-Options响应头配置详解 - 吴昊博客X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套https://blog.whsir.com/post-3919.html

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/码创造者/article/detail/847457
推荐阅读
相关标签
  

闽ICP备14008679号