CSRF Cross-Site Request Forgery 跨站点伪造请求 钓鱼网站通过获取用户账户信息,进行真实网站操作获取用户账户资产
CORS Cross-Origin Request 浏览器同源策略,只在浏览器内有效。在当前域名请求其他域名XHR会出现。解决方案
配置第三方响应头
access-control-allow-credentials: 是否允许cookie
access-control-allow-origin: 允许访问的域名
access-control-allow-methods: 允许访问的方法
XSS Cross-Site Scripting 脚本注入攻击。通过在打开网站注入脚本实现获取用户信息或者对服务器发起攻击
CSP Content Security Policy 内部安全测试,通过指定应被视为脚本有效来源的域,Web浏览器将仅执行从这些白名单域加载的脚本。CSP是通过Content-Security-Policy HTTP标头设置的。
HSTS HTTP Strict Transport Security 通过允许服务器声明浏览器应仅使用HTTPS连接与其不进行交互,而不能使用HTTP来防止协议降级攻击和cookie劫持。 并且浏览器应始终将所有使用HTTP的访问尝试都转换为HTTPS,例如HTTPS。 通过重写所有链接以使用HTTPS代替HTTP。 通过透明地将https连接转换为纯http来防止窃听和中间人攻击。 例如,您可能连接到机场的免费wifi服务以访问您的银行网站,但访问点实际上是黑客的笔记本电脑,该笔记本电脑会进行MITM攻击并将您重定向到该银行网站的克隆。 只要您至少通过HTTPS访问银行网站一次(并且银行使用HSTS),HSTS便会在这种情况下提供安全性,浏览器将完全拒绝此请求。 该页面包含有关为Nginx配置HSTS的详细信息。
HPKP HTTP Public Key Pinning HTTP公钥固定可通过为浏览器提供一组公钥来使HTTPS网站使用欺诈性获得的SSL证书来抵制假冒,这是将来可信任的唯一连接到同一来源的公钥。 与过去使用Comodo发生的情况一样,这可提供安全保护,以防止受到破坏的证书颁发机构。 在上述机场场景中,如果黑客也有从银行骗取的证书,那么仅HSTS不能保护您-但是使用HPKP,即使这种攻击也可以缓解。 这是首次使用时信任的技术。 HPKP最终将被Expect-CT标头取代。 有关HPKP的更多信息。
Set-Cookie 这是一个相当标准的标头,到目前为止是页面上最古老的标头,但它也是正确配置最重要(也是最简单)的标头之一。 这可以通过设置一些指令来完成。 SameSite:Strict指令通过从所有跨域请求中剥离cookie来防止CSRF攻击。 Secure指令确保cookie仅在https连接中使用过-从而提供了比HPKP和HSTS更高的安全性。 HttpOnly指令确保JavaScript无法访问cookie。 通常,您将要设置所有三个。 有关Set-Cookie的更多信息
网友评论