Http安全header

Posted on Views:
HTTP 响应头(HTTP Response Headers)为我们提供了一些简单却强大的手段,能帮助防御常见的攻击

理解常见的 HTTP 安全响应头

在现代 Web 应用开发中,安全性是一个绕不过去的重要话题。HTTP 响应头(HTTP Response Headers)为我们提供了一些简单却强大的手段,能帮助防御常见的攻击,比如 XSS、点击劫持、MIME 类型混淆等。

在 Alex Edwards 所著的《Let’s Go》一书中,就提到了如下这组安全相关的 HTTP Header:

1
2
3
4
5
Content-Security-Policy: default-src 'self'; style-src 'self' fonts.googleapis.com; font-src fonts.gstatic.com
Referrer-Policy: origin-when-cross-origin
X-Content-Type-Options: nosniff
X-Frame-Options: deny
X-XSS-Protection: 0

1. Content-Security-Policy (CSP)

示例:

1
Content-Security-Policy: default-src 'self'; style-src 'self' fonts.googleapis.com; font-src fonts.gstatic.com

作用:

Content-Security-Policy 是一个强大的防御 XSS 和数据注入攻击的工具,它通过定义哪些资源是“可信的”来限制页面加载的内容。

解释:

  • default-src 'self'
    默认资源来源限制为同源(即当前域名下的资源)。

  • style-src 'self' fonts.googleapis.com
    样式文件(CSS)只能从当前站点或 fonts.googleapis.com 加载,后者是 Google Fonts 提供 CSS 的域名。

  • font-src fonts.gstatic.com
    字体文件只能从 fonts.gstatic.com 加载,这也是 Google Fonts 字体 CDN 的地址。

举个例子:

如果某人试图通过注入 <script><link> 标签从第三方地址加载恶意脚本或样式,浏览器会因为 CSP 策略的限制而阻止加载。

最佳实践:

  • CSP 是强烈推荐启用的安全机制,但也可能造成资源加载失败,尤其是使用第三方库、字体或 CDN 时,请务必明确白名单。
  • 在开发初期使用 Content-Security-Policy-Report-Only 来测试策略是否合理。

2. Referrer-Policy

示例:

1
Referrer-Policy: origin-when-cross-origin

作用:

控制浏览器在进行跳转或资源请求时,Referer 头部包含的信息量,以保护用户隐私。

解释:

  • origin-when-cross-origin 表示:

    • 同源请求发送完整 URL。
    • 跨域请求只发送 origin(例如:https://example.com 而不是 https://example.com/page.html)。

举个例子:

用户从你的网页跳转到外部站点,如果使用该策略,对方服务器只能知道请求来自 https://yourdomain.com,而不知道具体页面路径。这有助于保护用户浏览行为隐私。

3. X-Content-Type-Options

示例:

1
X-Content-Type-Options: nosniff

作用:

防止浏览器“猜测”资源类型,强制它按照 Content-Type 来处理资源。

解释:

有些浏览器会根据文件内容猜测 MIME 类型(而不是依赖服务器声明的 Content-Type),攻击者可能利用这一点诱使浏览器将非脚本内容作为脚本执行。

  • 设置为 nosniff 后,浏览器将拒绝加载 MIME 类型与实际内容不匹配的资源。

举个例子:

攻击者上传了一个 .jpg 文件,实际内容却是 JavaScript。如果没有 nosniff,浏览器可能执行这个脚本。

4. X-Frame-Options

示例:

1
X-Frame-Options: deny

作用:

防止网页被嵌套在 <iframe> 中,用于防御点击劫持(Clickjacking)攻击。

解释:

  • deny:不允许任何来源嵌套当前页面。

  • 其他选项:

    • sameorigin:只允许同源页面嵌套。
    • allow-from <url>:允许指定页面嵌套(已被大多数浏览器弃用)。

举个例子:

攻击者构造一个恶意网页,将你的站点以透明 iframe 嵌入,然后诱导用户点击某个按钮,实际上却是在点击你的页面上的敏感操作,这种攻击被称为点击劫持。设置该 Header 可有效防御此类攻击。

5. X-XSS-Protection

示例:

1
X-XSS-Protection: 0

作用:

关闭浏览器自带的 XSS 过滤器。

解释:

  • 0 表示禁用浏览器 XSS 保护机制。
  • 这是一个较具争议的选项。部分旧版浏览器(如 IE、旧版 Chrome)提供了一个 XSS Auditor,在检测到疑似反射型 XSS 时会拦截请求。但这个机制有时会误报,甚至可以被绕过。

为什么设为 0?

现代 Web 开发更推荐使用 CSP 作为 XSS 防护手段。CSP 更可靠,而浏览器内建的 XSS 过滤器有时反而会带来安全隐患(如信息泄漏、绕过攻击),因此很多现代应用选择禁用它。

总结与最佳实践

Header 作用 建议值
Content-Security-Policy 限制资源加载来源 根据实际资源设置白名单
Referrer-Policy 控制 referer 信息暴露 origin-when-cross-origin
X-Content-Type-Options 阻止 MIME 类型猜测 nosniff
X-Frame-Options 防止点击劫持 denysameorigin
X-XSS-Protection 控制浏览器 XSS 保护 0(建议依赖 CSP)

这些安全头部虽然看似简单,但配置得当可以大幅提高 Web 应用的安全性。无论是开发个人博客,还是构建企业级服务,理解并合理使用它们都是非常重要的安全基础。