Http请求头安全策略

今天在网上浪了许久，只是为了找一个很简单的配置，却奈何怎么都找不到。

好不容易找到了，我觉得还是记录下来的好，或许省得许多人像我一样浪费时间。

1.X-Frame-Options

如果网站可以嵌入到IFRAME元素中，则攻击者可以在社交场合设计一种情况，即受害者被指向攻击者控制的网站，该网站构成目标网站的框架。然后攻击者可以操纵受害者在目标网站上不知不觉地执行操作。即使有跨站点请求伪造保护，这种攻击也是可能的，并且被称为“clickjacking”，有关更多信息，请参阅https://www.owasp.org/index.php/Clickjacking。为了避免这种情况，创建了“X-Frame-Options”标题。此标题允许网站所有者决定允许哪些网站构建其网站。

通常的建议是将此标头设置为“SAMEORIGIN”，它只允许属于同源策略的资源构成受保护资源的框架，或者设置为“DENY”，它拒绝任何资源（本地或远程）尝试框架也提供“X-Frame-Options”标头的资源。如下所示：

X-Frame-Options：SAMEORIGIN

请注意，“X-Frame-Options”标题已被弃用，将由内容安全策略中的Frame-Options指令替换，该指令仍处于活动开发阶段。但是，“X-Frame-Options”标题目前具有更广泛的支持，因此仍应实施安全措施。

说白了呢，就是让你的网站禁止被嵌套。

其实也很简单（我还在网上搜罗了半天）

配置文件config

<httpProtocol>
      <customHeaders>
        <add name="X-Frame-Options" value="SAMEORIGIN" />
      </customHeaders>
    </httpProtocol>
</system.webServer>

　　

2.Content-Security-Policy

内容安全策略（CSP）旨在允许Web应用程序的所有者通知客户端浏览器有关应用程序的预期行为（包括内容源，脚本源，插件类型和其他远程资源），这允许浏览器更多智能地执行安全约束。虽然CSP本质上是复杂的，如果没有适当部署它可能会变得混乱，一个应用良好的CSP可以大大降低利用大多数形式的跨站点脚本攻击的机会。

需要整个帖子来深入了解CSP允许的功能和不同设置，因此建议进一步阅读。以下是Mozilla开发者网络对CSP的精彩介绍性帖子：https：//developer.mozilla.org/en-US/docs/Web/Security/CSP

下面的简要示例显示了如何使用CSP指定您的网站希望从任何URI加载图像，从受信任的媒体提供商（包括内容分发网络）列表中插入插件内容，以及仅从您控制的服务器加载脚本：

Content-Security-Policy：default-src'self'; img-src *; object-src media1.example.com media2.example.com * .cdn.example.com; script-src trustedscripts.example.com

请注意，使用CSP的主要问题涉及策略错误配置（即使用“不安全内联”），或使用过于宽松的策略，因此在实施CSP时应特别注意。

这个呢，是将你引入的一切，加一个限制，这样如果别人想通过一些手段在你的网站加一些不好的东西，我们就可以有效地防止了

  <httpProtocol>
      <customHeaders>
        <add name="Content-Security-Policy" value="script-src 'unsafe-inline' http://localhost:56504; object-src 'none'; style-src 'unsafe-inline' http://localhost:56504;" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>

　　

其中预设值有以下这些：

• none 不匹配任何东西。
• self 匹配当前域，但不包括子域。比如 example.com 可以，api.example.com 则会匹配失败。
• unsafe-inline 允许内嵌的脚本及样式。是的，没看错，对于页面中内嵌的内容也是有相应限制规则的。
• unsafe-eval 允许通过字符串动态创建的脚本执行，比如 eval，setTimeout 等。

3.X-Content-Type-Options

一种称为MIME类型混淆的漂亮攻击是创建此标头的原因。大多数浏览器采用称为MIME嗅探的技术，其中包括对教育服务器响应的内容类型进行教育猜测，而不是信任标头的内容类型值。在某些情况下，浏览器可能会被欺骗做出错误的决定，允许攻击者在受害者的浏览器上执行恶意代码。有关更多信息，请参阅https://en.wikipedia.org/wiki/Content_sniffing。

“X-Content-Type-Options”可用于通过将此标头的值设置为“nosniff”来防止发生这种“受过教育”的猜测，如下所示：

X-Content-Type-Options：nosniff

请注意，Internet Explorer，Chrome和Safari都支持此标题，但Firefox团队仍在辩论它：https：//bugzilla.mozilla.org/show_bug.cgi？ id = 471020

 <httpProtocol>
      <customHeaders>
        <add name="X-Content-Type-Options" value="nosniff" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>

4.X-XSS-Protection

现代浏览器包括一项有助于防止反映跨站点脚本攻击的功能，称为XSS过滤器。“X-XSS-Protection”标头可用于启用或禁用此内置功能（目前仅在Internet Explorer，Chrome和Safari中支持此功能）。

建议的配置是将此标头设置为以下值，这将启用XSS保护并指示浏览器在从用户输入插入恶意脚本时阻止响应，而不是清理：

X-XSS-Protection：1; mode = block。

如果没有从服务器发送“X-XSS-Protection”标头，Internet Explorer和Chrome将默认清理任何恶意数据。

请注意，X-XSS-Protection标头已被弃用，将被内容安全策略中的Reflected-XSS指令取代，该指令仍处于活动开发阶段。但是，“X-XSS-Protection”标题目前有更广泛的支持，因此仍应实施安全措施。

0 – 关闭对浏览器的xss防护
1 – 开启xss防护
1; mode=block – 开启xss防护并通知浏览器阻止而不是过滤用户注入的脚本。
1; report=http://site.com/report – 这个只有chrome和webkit内核的浏览器支持，这种模式告诉浏览器当发现疑似xss攻击的时候就将这部分数据post到指定地址。

　　

配置方法

<httpProtocol>
<customHeaders>
<add name="X-XSS-Protection" value="1;mode=block" />
</customHeaders>
</httpProtocol>
</system.webServer>

　　

这就是困扰了我许久，网上又找不到的几个安全配置

文中介绍引自 ： https://www.dionach.com/blog/an-overview-of-http-security-headers

如果大家想要更深入了解，这是我一下午找的资料

https://www.cnblogs.com/alisecurity/p/5924023.html

https://www.cnblogs.com/Wayou/p/intro_to_content_security_policy.html

https://www.cnblogs.com/doseoer/p/5676297.html

网址安全型检测

https://tools.geekflare.com/report/xss-protection-test/http://hgwebsite.cn/

学习的道路是漫长的