不同的网站安全措施(HTTP报头等)
Different security measures for websites (HTTP Headers, etc.)
这是一个开放式的问题,我为此道歉。但我认为它是有用的,我希望它不会被关闭。
我正在一个处理高度敏感内容的网站上工作,我希望使它尽可能安全。
刚才我遇到了X-Frame-Options HTTP-Header,我可以禁止页面在框架内显示,从而防止"点击劫持"攻击我的页面。
是否有一些参考,你可能会建议它提供了一个全面的列表,所有的安全措施,我应该知道(例如SSL(当然),http头像Strict-Transport-Security和X-Content-Security-Policy,客户端aes加密,…)?
是否有其他(可能不太为人所知)的安全功能,你会认为相关的我去看看(例如,是否有可能阻止插件,防止书签,不允许代理浏览器,如Opera Mini,…)?
我希望对这个问题的回答能形成一个有用的清单,以确保我(和其他人)没有遗漏任何用于保护内容的主要安全特性。
从开放Web应用程序安全项目十大漏洞文档开始。如果您能够采取适当的措施来避免上面描述的漏洞,那么您将比绝大多数站点更安全。在那之后,可能是时候从安全专家那里获得帮助,做一些渗透测试,寻找解决更多模糊的漏洞,等等。
关于HTTP报头的问题,请参考安全HTTP报头幻灯片演示和Mozilla开发人员网络保护您的站点文档。
这里是一些特定的HTTP响应头
- 设置cookie (Secure and HttpOnly属性)
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- X-Content-Security-Policy或Content-Security-Policy
- Strict-Transport-Security
请注意,不同的浏览器及其版本有不同级别的支持,所以除了安全和httponly cookie,您的IE7用户可能看不到任何好处。
相关文章:
- Meteor如何接收HTTP请求
- 在我的情况下,如何进行http请求
- //而不是在src=“”上使用http://"属性
- 我无法使用angularJs($http)访问服务器
- AJAX简单错误.XMLHttpRequest无法加载http://localhost/mpl/getPage.php.
- 如何将PHP get查询转换为Meteor's HTTP.get()
- 角度异步http自动完成
- 什么's本地node.js服务器和python简单http服务器之间的区别
- 角度http服务器页面刷新404s
- http.listen()在运行时接受终端命令
- 客户端在接收到"Location"后如何处理JavaScript ?HTTP报头
- 传递国家代码作为http报头的一部分
- 如何从SAPUI5的HTTP响应中获取自定义报头
- 忽略Node中HTTP请求的报头验证
- 添加报头到http请求
- 如何设置“日期”;HTTP请求的报头
- http报头的断言
- 使用angular.js为HTTP请求添加自定义报头
- 当你用承诺发出ajax请求时,你如何访问http报头?
- 决定HTTP报头的字符集.我应该简单地输入utf-8,然后忽略它吗?
