网站防御之浏览器特殊HTTP头属性




HttpOnlycookie标志。HttpOnly是另一个应用于cookie的标志,所有现代浏览器都支持它。Http

Only标志的目的是指示浏览器禁止任何脚本访问cookie内容,以降低被JavaScript发起的XSS攻

击窃取cookie的风险。
浏览器可以使用各种检测技术来判断服务器返回什么类型的内容。然后,

浏览器会执行一些与内容类型相关的操作。nosniff指令可以禁用浏览器的上述行为,并强制浏

览器根据内容类型头呈现内容。例如,如果服务器用nosniff指令返回对脚本标记的响应,浏览

器将忽略响应内容,除非响应的MIME类型是application/javascript(或其他几个字符串)。对于

维基百科这样的网站(允许上传),做到这一点非常重要。

 
 
如果响应中不包含这个指令,有人上传了一个特殊的文件,然后文件被下载了,可能会造成威

胁。此时,浏览器可能会像往常一样曲解文件的MIME类型,例如,将JPEG解释为脚本。从

浏览器安全的角度来看,很有可能会有人利用这一点来控制浏览器。例如,这个人上传了一

个允许上传的文件(看起来是安全的),但浏览器随后以另一种危险而多变的方式对其进行解释。
 
 
Strict-Transport-Security严格的传输安全.该HTTP头表示浏览器必须通过有效的HTTPS通道与

网站通信。如果是不安全的连接,用户就不可能接受HTTPS错误并继续浏览网站。相反,浏

览器解释错误,不允许用户继续浏览。
 
 
X-Frame-Options使用X-Frame-Options来杜绝页面中的恶意框架嵌入代码。看到这个标志后

,浏览器应该确保接收到的页面不会显示在IFrame中。这个标题的目的是防止UI伪装攻击,

其中之一就是点击劫持。这种攻击是把诱导页面放在一个完全透明的前景框窗口,而用户认

为他是在点击下面不透明的(被攻击的)页面,实际上他是在点击透明的前景(诱导的)页面。
分享: