X-XSS-Protection
X-XSS-Protection为浏览器针对XSS攻击的防御机制。
配置如下:
0 禁用过滤器。
1 启用过滤器。 如果检测到跨站点脚本攻击,为了停止攻击,浏览器将清理页面。
1; mode = block启用过滤器。 当检测到XSS攻击时,浏览器将阻止页面的呈现,而不是清理页面。
1; report=http://domain/url 过滤器已启用。 浏览器将清理页面并报告违例。 这是一个使用CSP违规报告的Chromium功能,可将详细信息发送到您选择的URI。
1)没有设置X-XSS-Protection
服务端代码:
<?php
echo $_GET['id'];
?>
请求URL:http://192.168.192.120:8080/xss.php?id=1<img/src=x οnerrοr=alert(1)>
可以看到Console打印信息如下:
The XSS Auditor refused to execute a script in 'http://192.168.192.120:8080/xss.php?id=1%3Cimg/src=x%20onerror=alert(1)%3E' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.
2)设置X-XSS-Protection:0
服务端代码:
<?php
header("X-XSS-Protection:0");
echo $_GET['id'];
?>
会触发XSS
3)设置X-XSS-Protection:1; mode = block
服务端代码:
<?php
header("X-XSS-Protection:1;mode = block");
echo $_GET['id'];
?>
发现页面为空,连1也没有打印出来
X-Frame-Options
X-Frame-Options,是为了减少点击劫持(Clickjacking)而引入的一个响应头。
这个响应头支持三种配置:
DENY:不允许被任何页面嵌入;
SAMEORIGIN:不允许被本域以外的页面嵌入;
ALLOW-FROM uri:不允许被指定的域名以外的页面嵌入(Chrome现阶段不支持);
如果某页面被不被允许的页面以<iframe>或<frame>的形式嵌入,IE会显示类似于“此内容无法在框架中显示”的提示信息,Chrome和Firefox都会在控制台打印信息。由于嵌入的页面不会加载,这就减少了点击劫持的发生。
1)设置X-Frame-Options:deny
http://192.168.192.120:8080/xss.php代码
<iframe src=http://192.168.192.120:8080/123.php></iframe>
http://192.168.192.120:8080/123.php代码
<?php header("X-Frame-Options:deny"); ?>
123456
可以看到Console输出如下:
Refused to display 'http://192.168.192.120:8080/123.php' in a frame because it set 'X-Frame-Options' to 'deny'.
2)设置X-Frame-Options:SAMEORIGIN
http://192.168.192.120:8080/xss.php代码
<iframe src=http://192.168.192.120:8080/123.php></iframe>
http://192.168.192.120:8080/123.php代码
<?php header("X-Frame-Options:SAMEORIGIN"); ?>
123456
3)X-Frame-Options: allow-from http://192.168.192.120:8080/xss.php
http://192.168.192.120:8080/xss.php代码
<iframe src=http://10.59.0.248/1.php></iframe>
<?php header("X-Frame-Options:allow-from http://192.168.192.120:8080/xss.php"); ?>
123456
Chrome会忽略该条配置,console输出如下:
Invalid 'X-Frame-Options' header encountered when loading 'http://10.59.0.248/1.php': 'allow-from http://192.168.192.120:8080/xss.php' is not a recognized directive. The header will be ignored.
Firefox下可以生效。
X-Content-Type-Options
互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:”text/html”代表html文档,”image/png”是PNG图片,”text/css”是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义,浏览器会自动判断文档类型。例如:
test.php内容如下:
<script>alert(1)</Script>
<?php
header("Content-Type:text/plain");
?>
在IE8中访问发现JS可以执行:
但是在Chrome和Firefox中不会执行。
IE8里面新增了一个HTTP请求数据包header的属性X-Content-Type-Options。
可以通过使用X-Content-Type-Options:nosniff 选项来关闭IE的文档类型自动判断功能。
修改test.php内容,并添加header(“X-Content-Type-Options: nosniff”); 结果如下:
发现不会自动判断文档类型,并没有执行JS。
Strict-transport-security
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。
要使用HSTS,只需要在你的HTTPS网站响应头中,加入下面这行:
strict-transport-security: max-age=16070400; includeSubDomains
includeSubDomains是可选的,用来指定是否作用于子域名。支持HSTS的浏览器遇到这个响应头,会把当前网站加入HSTS列表,然后在max-age指定的秒数内,当前网站所有请求都会被重定向为https。即使用户主动输入http://或者不输入协议部分,都将重定向到https://地址。
Chrome内置了一个HSTS列表,默认包含Google、Paypal、Twitter、Linode等等服务。我们也可以在Chrome输入chrome://net-internals/#hsts,进入HSTS管理界面。在这个页面,你可以增加/删除/查询HSTS记录。
拿www.alipay.com测试下:
首先我们在chrome://net-internals/#hsts查询下www.alipay.com
然后我们访问http://www.alipay.com
返回了301跳转,Tengine重定向到了https://www.alipay.com,然后查看这个请求的返回包
可以看到返回了HSTS头,Strict-Transport-Security:max-age=31536000
在chrome://net-internals/#hsts查询下www.alipay.com
也就是在接下来的一年内,所有www.alipay.com的访问都将被重定向到https
然后我再次访问http://www.alipay.com
可以看到,一个307 响应码,这是chrome浏览器的内部转换,将http转换成https后再发送请求。
参考文章:
http://www.mottoin.com/93711.html