HTTP 协议中的安全响应头(Security Headers)是服务器向浏览器发送的指令,用于告知浏览器如何表现以增强安全性。配置这些 Header 是防御 XSS(跨站脚本攻击)、点击劫持、MIME 嗅探等常见攻击的低成本且高效的手段。 以下是目前主流且推荐配置的 HTTP 安全 Header: 1. Strict-Transport-Security (HSTS) 作用:强制浏览器仅通过 HTTPS 连接与服务器通信,防止中间人攻击(MITM)和 SSL 剥离攻击。 原理:一旦浏览器接收到该 Header,在指定的 时间内,即使用户输入 ,浏览器也会自动在本地转换为 发起请求。 推荐配置: : 有效期(秒),通常设为一年(31536000)。 : 应用于所有子域名。 : 申请加入浏览器内置的 HSTS 预加载列表(需去 hstspreload.org 注册)。 2. Content-Security-Policy (CSP) 作用:防御 XSS 和数据注入攻击的“核武器”。它允许站点管理员定义哪些动态资源(JavaScript, CSS, Images 等)允许加载。 原理...
播面