Spring Security 与 HTTP 安全 header

前言

HTTP 安全header对于网站安全防护来说至关重要。借助安全header,我们可以降低网站遭受攻击的风险。

Spring Security作为Spring家族御用的安全框架,自然考虑到了这方面的需求。它为我们提供了大量预定义好的配置,可减小开发工作量。

下面章节介绍常用的安全header,和Spring Security中的配置方法。

Cache-Control

用于控制Request和Response的缓存机制。可以通过如下设置,禁用cache:

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0

通过Spring Security设置Cache-Control

禁用cache的方法如下:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().cacheControl();
    }
}

Content-Security-Policy

用于控制客户浏览器可加载哪些外部资源。相当于一个白名单,从而减少攻击者注入恶意脚本的可能性。

该 header的配置方法较为复杂,可参考:Content Security Policy 入门教程 - 阮一峰的网络日志 (ruanyifeng.com)

通过Spring Security设置Content-Security-Policy

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().contentSecurityPolicy("...");
    }
}

Referrer-Policy

主要是以下三种场景会发送Referer字段。

(1)用户点击网页上的链接。

(2)用户发送表单。

(3)网页加载静态资源,比如加载图片、脚本、样式。

可以使用rel属性,修改默认的referer行为。

<a href="..." rel="noreferrer" target="_blank">xxx</a>

rel属性只能定制单个元素的Referer行为,而且选择比较少,只能发送或不发送。W3C 为此制定了更强大的 Referrer Policy。

Referrer Policy 可以设定8个值。

(1)no-referrer

不发送Referer字段。

(2)no-referrer-when-downgrade

如果从 HTTPS 网址链接到 HTTP 网址,不发送Referer字段,其他情况发送(包括 HTTP 网址链接到 HTTPS 网址)。这是浏览器的默认行为。

(3)same-origin

链接到同源网址(协议+域名+端口 都相同)时发送,否则不发送。注意,https://foo.com链接到http://foo.com也属于跨域。

(4)origin

Referer字段一律只发送源信息(协议+域名+端口),不管是否跨域。

(5)strict-origin

如果从 HTTPS 网址链接到 HTTP 网址,不发送Referer字段,其他情况只发送源信息。

(6)origin-when-cross-origin

同源时,发送完整的Referer字段,跨域时发送源信息。

(7)strict-origin-when-cross-origin

同源时,发送完整的Referer字段;跨域时,如果 HTTPS 网址链接到 HTTP 网址,不发送Referer字段,否则发送源信息。

(8)unsafe-url

Referer字段包含源信息、路径和查询字符串,不包含锚点、用户名和密码。

注:以上内容来源于
https://www.ruanyifeng.com/blog/2019/06/http-referer.html。侵删。

通过Spring Security设置Referrer-Policy

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().referrerPolicy().policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.NO_REFERRER);
    }
}

Strict-Transport-Security

网站通过这个请求头告诉浏览器,只能通过HTTPS访问该网站,而不是HTTP。

写法

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

含义

max-age=<expire-time>

设置在浏览器收到这个请求后的<expire-time>秒的时间内凡是访问这个域名下的请求都使用HTTPS请求。

includeSubDomains 可选

如果这个可选的参数被指定,那么说明此规则也适用于该网站的所有子域名。

preload 可选

查看 预加载 HSTS 获得详情。不是标准的一部分。

参考链接:https://developer.mozilla.org/zh-CN/docs/Security/HTTP_Strict_Transport_Security

通过Spring Security设置Strict-Transport-Security

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().httpStrictTransportSecurity()
                .maxAgeInSeconds(1000)
                .includeSubDomains(true)
                .preload(true);
    }
}

X-Content-Type-Options

用来确定Content-Type指定的MIME type可否被修改。有些资源的Content-Type是错的或者未定义,这时某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行,有安全风险。可以使用此header用来防止MIME type嗅探攻击。

禁用MIME type嗅探攻击的方法为:

X-Content-Type-Options: nosniff

通过Spring Security设置X-Content-Type-Options

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 设置X-Content-Type-Options: nosniff
        http.headers().contentTypeOptions();
    }
}

X-Frame-Options

X-Frame-Options用来告诉浏览器是否允许渲染<frame><iframe><embed><object>内的页面。主要用于防止clickjack攻击。

它有如下三个值:

  • DENY:禁止任何网页嵌入显示。
  • SAMEORIGIN:A页面嵌入了B页面,只有A和B的来源相同的时候,才会显示B页面。
  • ALLOW-FROM http://xxx.com/ 允许嵌入来源于http://xxx.com/的页面。仅在旧版浏览器生效,新浏览器已废弃,不要再使用该配置项。

参考链接:X-Frame-Options - HTTP | MDN (mozilla.org)

通过Spring Security设置X-Frame-Options

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 以下三选一
        // 不设置X-Frame-Options header
        http.headers().frameOptions().disable();
        // 设置X-Frame-Options: deny
        http.headers().frameOptions().deny();
        // 设置X-Frame-Options: SAMEORIGIN
        http.headers().frameOptions().sameOrigin();

        // 或者使用Customizer
        http.headers().frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin);
    }
}

X-XSS-Protection

这个header用于防御XSS攻击。当浏览器检测到疑似XSS攻击的时候,自动阻止页面加载。

该header的配置项如下:

  • 0:禁用XSS保护
  • 1:启用XSS保护
  • 1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换)
  • X-XSS-Protection: 1; report=<reporting-uri>: 仅在chromium中生效。浏览器如果探测到疑似XSS攻击,会向reporting-uri报告

通过Spring Security设置X-XSS-Protection

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        
        http.headers().xssProtection().xssProtectionEnabled(true).block(true);
    }
}

附录

Spring Security添加自定义header

对于常用的HTTP header,Spring Security已经有现成的方法可用。但是对于自定义的header,我们要如何处理呢?

Spring Security提供了addHeaderWriter方法,可用于添加任意的HeaderWriter

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        
        http.headers().addHeaderWriter(
                (httpServletRequest, httpServletResponse) -> httpServletResponse.setHeader("xxx", "xx")
        );
    }
}
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 219,490评论 6 508
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 93,581评论 3 395
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 165,830评论 0 356
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,957评论 1 295
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,974评论 6 393
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,754评论 1 307
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,464评论 3 420
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 39,357评论 0 276
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,847评论 1 317
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,995评论 3 338
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 40,137评论 1 351
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,819评论 5 346
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,482评论 3 331
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 32,023评论 0 22
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 33,149评论 1 272
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 48,409评论 3 373
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 45,086评论 2 355

推荐阅读更多精彩内容