與網(wǎng)站安全有關(guān)的5個(gè)Header分別是什么

（文章來(lái)源：Gworg）

HTTP安全標(biāo)頭是網(wǎng)站安全的基本組成部分。部署這些安全標(biāo)頭有助于保護(hù)您的網(wǎng)站免受XSS,代碼注入，clickjacking的侵?jǐn)_。當(dāng)用戶通過(guò)瀏覽器訪問(wèn)站點(diǎn)時(shí)，服務(wù)器使用HTTP響應(yīng)頭進(jìn)行響應(yīng)。這些header告訴瀏覽器如何與站點(diǎn)通信。它們包含了網(wǎng)站的metadata。您可以利用這些信息概括整個(gè)通信并提高安全性。

假設(shè)您有一個(gè)名為example.com的網(wǎng)站，并且您已安裝SSL / TLS證書并從HTTP遷移到HTTPS。但工作還沒(méi)有結(jié)束。很多人在將網(wǎng)站遷移到HTTPS后都會(huì)忘了杜絕網(wǎng)站仍能通過(guò)HTTP訪問(wèn)的情況。正因如此，HSTS被引入。如果站點(diǎn)配備了HTTPS，則服務(wù)器會(huì)強(qiáng)制瀏覽器通過(guò)安全的HTTPS進(jìn)行通信。 如此，便完全消除了HTTP連接的可能性。

Strict-Transport-Security: max-age=Strict-Transport-Security: max-age=; includeSubDomainsStrict-Transport-Security: max-age=; preloadHTTP內(nèi)容安全策略響應(yīng)標(biāo)頭通過(guò)賦予網(wǎng)站管理員權(quán)限來(lái)限制用戶被允許在站點(diǎn)內(nèi)加載的資源，從而為網(wǎng)站管理員提供了一種控制感。 換句話說(shuō)，您可以將網(wǎng)站的內(nèi)容來(lái)源列入白名單。

內(nèi)容安全策略可防止跨站點(diǎn)腳本和其他代碼注入攻擊。 雖然它不能完全消除它們的可能性，但它確實(shí)可以將損害降至最低。 大多數(shù)主流瀏覽器都支持CSP，所以兼容性不成問(wèn)題?？缯军c(diǎn)腳本保護(hù)（X-XSS），顧名思義，X-XSS頭部可以防止跨站腳本攻擊。 Chrome，IE和Safari默認(rèn)啟用XSS過(guò)濾器。 此篩選器在檢測(cè)到跨站點(diǎn)腳本攻擊時(shí)不會(huì)讓頁(yè)面加載。

X-XSS-Protection:0X-XSS-ProtecTIon:1X-XSS-ProtecTIon:1; mode=blockX-XSS-ProtecTIon:1; report=

X-Frame-選項(xiàng)，在Orkut世代，有一種名為點(diǎn)擊劫持（Clickjacking）的騙術(shù)十分流行。攻擊者讓用戶點(diǎn)擊到肉眼看不見的內(nèi)容。比方說(shuō)，用戶以為自己在訪問(wèn)某視頻網(wǎng)站，想把遮擋物廣告關(guān)閉，但當(dāng)你自以為點(diǎn)的是關(guān)閉鍵時(shí)會(huì)有其他內(nèi)容在后臺(tái)運(yùn)行，并在整個(gè)過(guò)程中泄露用戶的隱私信息。

X-Frame-選項(xiàng)有助于防范這些類型的攻擊。 這是通過(guò)禁用網(wǎng)站上存在的iframe來(lái)完成的。 換句話說(shuō)，它不會(huì)讓別人嵌入您的內(nèi)容。

X-Frame-OpTIons: DENYX-Frame-Options: SAMEORIGINX-Frame-Options: ALLOW-FROM https://example.com/X-Content-Type選項(xiàng)，X-Content-Type標(biāo)頭提供了針對(duì)MIME嗅探的對(duì)策。 它指示瀏覽器遵循標(biāo)題中指示的MIME類型。 作為發(fā)現(xiàn)資產(chǎn)文件格式的功能，MIME嗅探也可用于執(zhí)行跨站點(diǎn)腳本攻擊。