[閒聊] 2019-M01 - Security Header

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間5年前 (2019/04/05 14:38)推噓1(1推 0噓 0→)

留言1則, 1人參與討論串1/1

2019-M01 - Security Header 在之前的經驗中有不少研究、開發人員對於網頁服務中的一些安全性設定不是很了解在這篇[0] 文章中有幫忙整理了一些對於網頁服務需要設定的 header X- 系列的 HTTP Header 在 MDN[1] 被描述成 - 客製化的 HTTP Header - 2012 年的 RFC6648 標記成 DEPRECATING (不過現在大家也是很常用) - IANA[2] 列出各種標準的 HTTP header 以及相對的 RFC 編號 (真的很多...) 不過還是有不少瀏覽器會根據 X- 的 HTTP header 提供額外的功能像是 - X-XSS-Protection 針對 XSS 做額外的防護 - X-Frame-Options 針對 iFrame 做額外的設定 - XSRF-HEADER 針對 CSP (Cotent Security Policy) 做額外設定 - Referrer-Policy 不過在使用時強烈建議要考慮各種瀏覽器、版本之間的支援程度像是常用的 CSP 設定不同的參數在不同瀏覽器都有不一樣支援程度可以參考 MDN[3] 的清單就可以發現 base-uri 雖然在大多數瀏覽器都支援但是在 IE 跟 Edge 反而就不支援了 [0]: https://dev.to/shosta/security-headers-to-use-on-your-webserver-3id5 [1]: https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers [2]: https://www.iana.org/assignments/message-headers/message-headers.xhtml [3]: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.224.240 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1554446332.A.DE3.html