• 与web安全相关的一些HTTP首部字段


    X-Frame-Options

    X-XSS-Protection
    DNT
    P3P
     1.X-Frame-Options

    X-Frame-Options: DENY

    首部字段 X-Frame-Options 属于 HTTP 响应首部, 用于控制网站内容
    在其他 Web 网站的 Frame 标签内的显示问题。 其主要目的是为了防
    止点击劫持(clickjacking) 攻击。
    首部字段 X-Frame-Options 有以下两个可指定的字段值。
    DENY : 拒绝
    SAMEORIGIN : 仅同源域名下的页面(Top-level-browsingcontext) 匹配时许可。 (比如, 当指定 http://hackr.jp/sample.html
    页面为 SAMEORIGIN 时, 那么 hackr.jp 上所有页面的 frame 都被
    允许可加载该页面, 而 example.com 等其他域名的页面就不行
    了)
    支持该首部字段的浏览器有: Internet Explorer 8Firefox 3.6.9+
    Chrome 4.1.249.1042+Safari 4+ Opera 10.50+ 等。 现在主流的浏览
    器都已经支持。
    能在所有的 Web 服务器端预先设定好 X-Frame-Options 字段值是最理
    想的状态。

    2.X-XSS-Protection

    X-XSS-Protection: 1

    首部字段 X-XSS-Protection 属于 HTTP 响应首部, 它是针对跨站脚本
    攻击(XSS) 的一种对策, 用于控制浏览器 XSS 防护机制的开关。
    首部字段 X-XSS-Protection 可指定的字段值如下。
    0 : 将 XSS 过滤设置成无效状态
    1 : 将 XSS 过滤设置成有效状态

    3.DNT

    DNT: 1

    首部字段 DNT 属于 HTTP 请求首部, 其中 DNT Do Not Track 的简
    称, 意为拒绝个人信息被收集, 是表示拒绝被精准广告追踪的一种方
    法。
    首部字段 DNT 可指定的字段值如下。
    0 : 同意被追踪
    1 : 拒绝被追踪

    由于首部字段 DNT 的功能具备有效性, 所以 Web 服务器需要对 DNT
    做对应的支持。

    4.P3P

    P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa"

    首部字段 P3P 属于 HTTP 相应首部, 通过利用 P3PThe Platform for
    Privacy Preferences, 在线隐私偏好平台) 技术, 可以让 Web 网站上
    的个人隐私变成一种仅供程序可理解的形式, 以达到保护用户隐私的
    目的。
    要进行 P3P 的设定, 需按以下操作步骤进行。
    步骤 1: 创建 P3P 隐私
    步骤 2: 创建 P3P 隐私对照文件后, 保存命名在 /w3c/p3p.xml
    步骤 3: 从 P3P 隐私中新建 Compact policies 后, 输出到 HTTP 响应


     

  • 相关阅读:
    linux 从入门到跑路-目录结构的理解
    linux 从入门到跑路-ls,cp,mkdir命令练习
    linux 从入门到跑路-电源管理
    java 图形界面 Socket编程
    java 图形界面 mvc模式控制
    java 邮件
    java 图形界面
    java 文件的基本操作
    java基础算法题
    java 字符串
  • 原文地址:https://www.cnblogs.com/archer-wen/p/10639587.html
Copyright © 2020-2023  润新知