登录注册写文章

HTTP 协议中 Web 安全相关的 HTTP 头

HTTP 协议中 Web 安全相关的 HTTP 头

（参考：https://imququ.com/post/web-security-and-response-header.html#toc-0）

Content-Security-Policy

只允许本站资源：
Content-Security-Policy: default-src ‘self’
允许本站的资源以及任意位置的图片以及http://trustedscripts.example.com 下的脚本：
Content-Security-Policy: default-src ‘self’; img-src *; script-src http://trustedscripts.example.com

secure/HttpOnly cookie

secure属性
当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。
HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。

X-XSS-Protection: 1; mode=block

指定 1 为开启浏览器 XSS 防御机制。
指定 mode=block 为当浏览器检测到 XSS 攻击是不再渲染页面。

最后编辑于：2017.12.07 02:43:26

©著作权归作者所有,转载或内容合作请联系作者
平台声明：文章内容（如有图片或视频亦包括在内）由作者上传并发布，文章内容仅代表作者本人观点，简书系信息发布平台，仅提供信息存储服务。

推荐阅读更多精彩内容

前端优化不完全指南(转载)
篇幅可能有点长，我想先聊一聊阅读的方式，我希望你阅读的时候，能够把我当作你的竞争对手，你的梦想是超越我。你想超越我...
__越过山丘__阅读 347评论 0赞 0
全面解读HTTP Cookie
今天webryan给team做了一个关于HTTP cookie的分享，从各个方面给大家介绍一下大家耳熟能详的Coo...
秒赞不是偶然阅读 8,734评论 0赞 20
七种HTTP头部设置保护你的网站应用安全
现代的网络浏览器提供了很多的安全功能，旨在保护浏览器用户免受各种各样的威胁，如安装在他们设备上的恶意软件、监听他们...
新强吖阅读 2,032评论 0赞 1
Find_Sec_Bugs检测项
1、不安全的随机数生成，在CSRF TOKEN生成、password reset token生成等，会造成toke...
nightmare丿阅读 3,797评论 0赞 1
白帽子讲web安全笔记
参考白帽子讲web安全(书) XSS前端防火墙 JavaScript防http劫持与XSS 内容安全策略（Con...
afra_zhou阅读 2,173评论 0赞 2

1赞2赞

赞赏

手机看全文