页面中的,Web应用服务器安全【永利澳门游戏网站】

让浏览器不再显得 https 页面中的 http 央求警报

2015/08/26 · 基础本领 ·
HTTPS,
浏览器

初稿出处:
李靖(@Barret李靖)   

HTTPS 是 HTTP over Secure Socket Layer,以安全为对象的 HTTP 通道,所以在
HTTPS 承载的页面上不一样意现身 http 诉求,一旦出现正是唤醒或报错:

Mixed Content: The page at ‘‘ was loaded over
HTTPS, but requested an insecure image ‘’.
This content should also be served over HTTPS.

HTTPS改变之后,大家得以在好些个页面中见到如下警报:

永利澳门游戏网站 1

不菲运行对 https 未有技艺概念,在填写的数据中难免出现 http
的能源,类别强大,出现大意和漏洞也是不可咸鱼翻身的。

摘要

现阶段有无数的黑心抨击都是以网址及其客户作为指标,本文将简要介绍在 Web
服务器一侧的广元加固和测验方法。

攻击方式 防护方式 说明
点击劫持(clickjacking) X-Frame-Options Header —–
基于 SSL 的中间人攻击(SSL Man-in-the-middle) HTTP Strict Transport Security —–
跨站脚本(Cross-site scripting,XSS) X-XSS-Protection、Content-Security-Policy、X-Content-Type-Options —–

CSP设置upgrade-insecure-requests

还好 W3C 工作组考虑到了大家进级 HTTPS 的困难,在 二零一四 年 1十一月份就出了二个 Upgrade Insecure Requests 的草案,他的效果正是让浏览器自动进级必要。

在大家服务器的响应头中参与:

header(“Content-Security-Policy: upgrade-insecure-requests”);

1
header("Content-Security-Policy: upgrade-insecure-requests");

大家的页面是 https 的,而以此页面中带有了大气的 http
能源(图片、iframe等),页面一旦开掘存在上述响应头,会在加载 http
能源时自动替换到 https 乞求。能够查阅 google
提供的三个 demo:

永利澳门游戏网站 2

但是令人不解的是,那些财富发出了五次呼吁,猜度是浏览器完结的 bug:

永利澳门游戏网站 3

当然,假使我们不低价在服务器/Nginx
上操作,也得以在页面中进入 meta 头:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”upgrade-insecure-requests” />

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

此时此刻支撑这些装置的还独有 chrome 43.0,可是自身深信,CSP 将产生未来 web
前端安全努力关切和平运动用的剧情。而 upgrade-insecure-requests 草案也会火速步向PAJEROFC 格局。

从 W3C
职业组给出的 example,能够看出,这一个设置不会对别国的
a 链接做拍卖,所以能够放心使用。

1 赞 收藏
评论

永利澳门游戏网站 4

点击吓唬(Clickjacking)

点击威逼,clickjacking
是一种在网页司令员恶意代码等隐讳在周边无毒的内容(如开关)之下,并诱使顾客点击的手段,又被可以称作分界面伪装(UI
redressing)。举个例子客户收到一封包罗一段录制的电子邮件,但当中的“播放”开关并不会真正播放录像,而是被欺诈进入三个购物网址。

永利澳门游戏网站 5

本着点击威逼攻击,盛放Web应用程序安全项目(Open Web Application Security
Project
,OWASP)永利澳门游戏网站,(非营利组织,其目标是援助个人、公司和机关来开采和应用可信赖任软件)
提供了一份教导,《Defending_with_X-Frame-Options_Response_Headers》

X-Frame-Options HTTP 响应头是用来给浏览器提醒允许贰个页面可以还是不可以在 frame
标签 或然 object
标签中表现的标志。网址能够选取此意义,来担保本身网址的剧情未有被嵌到别人的网址中去,也因而制止了点击威迫(clickjacking) 的口诛笔伐。DENY:表示该页面不允许在 frame
中显得,即便是在一样域名的页面中嵌套也区别意。SAMEO瑞鹰IGIN:表示该页面能够在同等域名页面包车型地铁frame 中呈现。ALLOW-FROM uri:表示该页面能够在钦点来源的 frame
中显得。配置如下:

//HAProxy
http-response set-header X-Frame-Options:DENY
//Nginx
add_header X-Frame-Options "DENY";
//Java
response.addHeader("x-frame-options","DENY");

跨站脚本 Cross-site scripting (XSS)

跨站脚本经常指的是透过选拔开荒时预留的狐狸尾巴,注入恶意指令代码(JavaScript/Java/VBScript/ActiveX/Flash/HTML等)到网页,使顾客加载并试行攻击者恶意创设的次第。攻击者或者得到更加高的权能、私密网页、会话和cookie等各类内容。近些日子有二种分化的
HTTP 响应头能够用来严防 XSS 攻击,它们是:

  • X-XSS-Protection
  • Content-Security-Policy

X-XSS-Protection

HTTP X-XSS-Protection 响应头是Internet
Explorer,Chrome和Safari的三个职能,当检查实验到跨站脚本攻击
(XSS)时,浏览器将告一段落加载页面。配置选项:0 防止XSS过滤。1
启用XSS过滤(常常浏览器是默许的)。
若是检查评定到跨站脚本攻击,浏览器将解除页面(删除不安全的局部)。mode=block
启用XSS过滤,
假如检查实验到攻击,浏览器将不会免去页面,而是阻止页面加载。report=reporting-U凯雷德I
启用XSS过滤。 借使检查评定到跨站脚本攻击,浏览器将解除页面并动用 CSP
report-uri 指令的机能发送违规报告。仿照效法作品《The misunderstood
X-XSS-Protection》:

//HAProxy
http-response set-header X-XSS-Protection: 1;mode=block
//Nginx
add_header X-Xss-Protection "1; mode=block" always;;

浏览器扶助情况:

Chrome Edge Firefox Internet Explorer Opera Safari
(Yes) (Yes) No 8.0 (Yes) (Yes)

Content-Security-Policy

剧情安全性政策(Content Security
Policy,CSP)正是一种白名单制度,鲜明报告客商端哪些外界能源(脚本/图片/音录像等)能够加载和实施。浏览器能够拒绝任何不出自预约义地点的别的内容,进而防止外界注入的脚本和别的此类恶意内容。设置
Content-Security-Policy Header:

//HAProxy:
http-response set-header Content-Security-Policy:script-src https://www.google-analytics.com;https://q.quora.com
//Nginx
add_header Content-Security-Policy-Report-Only "script-src https://www.google-analytics.com https://q.quora.com";

发表评论

电子邮件地址不会被公开。 必填项已用*标注