Secure HTTP Header Settings

安全的 HTTP 标头设置

Risk: secure

描述

安全标头设置：

• Content Security Policy：通过指定受信任的内容来源，减轻跨站脚本（XSS）风险。
• Cookie：通过设置 HttpOnly 和 Secure 等属性来保护 Cookie 数据免受未经授权的访问，从而增强安全性。
• Cross-Origin Resource Sharing：控制如何在不同域之间共享资源，以防止恶意访问。
• HTTP Public Key Pinning：通过指定哪些公钥对特定站点有效，防止中间人（man-in-the-middle）攻击。
• Redirection：确保重定向是安全的，并且仅指向受信任的目的地，以防止开放重定向（open redirect）漏洞。
• Referrer Policy：定义在从一个站点导航到另一个站点时传递多少引用者（referrer）信息，从而增强隐私。
• Subresource Integrity：通过检查第三方域加载的资源的加密哈希值，验证它们未被篡改。
• X-Content-Type-Options：防止浏览器对内容类型进行 MIME 嗅探（MIME-sniffing），降低基于内容类型的攻击风险。
• X-Frame-Options：通过控制页面是否可以嵌入在框架（frame）中，防止点击劫持（clickjacking）攻击。
• X-XSS-Protection：激活浏览器内置的 XSS 过滤功能，以阻止检测到的跨站脚本攻击。
• Permissions-Policy：控制可以在浏览器中使用的功能和 API，通过限制不受信任内容的能力来增强安全性。
• Clear-Site-Data：允许站点请求浏览器清除特定源的存储数据（Cookie、本地存储、缓存），帮助减轻数据泄露或隐私问题的影响。

建议

实施是安全的，无适用建议。

链接

• OWASP HTTP Header Security
• Content Security Policy (MDN)
• X-Frame-Options (MDN)