首页 > 其他分享 >keyclaok~web安全防护

keyclaok~web安全防护

时间:2023-03-21 18:44:54浏览次数:48  
标签:web www Frame 防护 Content https Security Options keyclaok

安全配置Security Defenses

通过对Security Defenses的配置 ,可以对http头添加相应的安全配置 ,如csp, X-Frame-Options,  X-Content-Type-Option等

1 X-Frame-Options

你的网站添加了X-Frame-Options之后,保存了自己的网站不被其它网站引用,比如其它网站想iframe你的网站,通过X-Frame-Options DENY之后,其它网站是不容许iframe你的网站的。

参考:https://www.rfc-editor.org/rfc/rfc7034
HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 
注意:由于微信扫码采用iframe的方式,所以这块我们不能配置,不然微信不能使用,或者使用ALLOW-FROM。
现代浏览器遵循 X-Frame-Options 协议头,它表明一个资源是否允许加载到 frame 或者 iframe 中。 如果响应包含值为 SAMEORIGIN 的协议头,浏览器会在 frame 中只加载同源请求的的资源;如果协议头设置为 ,浏览器会在加载 frame 时屏蔽所有资源,无论请求来自于哪个站点;如果希望开放给某个域名,可以使用ALLOW-FROM uri来实现它,DENY表示拒绝所有请求。

如果在kc中配置了它,并且在其它网站想通过iframe嵌入KC的页面,那么,如果使用SAMEORIGIN
它会出现如下图提示;如果是同源网站,是可以通过iframe访问它的

2 Content Security Policy

你的网站需要引用外部资源,如你需要引用微信的js脚本,或者需要iframe微信的页面,这时,你需要配置自己网站的CSP,将微信添加到白名单即可,例如:frame-src 'self' https://www.recaptcha.net https://open.weixin.qq.com
参考:https://www.w3.org/TR/CSP/
"网页安全政策"(Content Security Policy,缩写 CSP)CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。

# 不允许被嵌入,包括<frame>, <iframe>, <object>, <embed> 和 <applet>
Content-Security-Policy: frame-ancestors 'none'
# 只允许被同源的页面嵌入
Content-Security-Policy: frame-ancestors 'self'
# 只允许被白名单内的页面嵌入
Content-Security-Policy: frame-ancestors www.example.com
 
# 不允许被嵌入,包括<frame>, <iframe>, <embed> 和 <object>
X-Frame-Options: deny
# 只允许被同源的页面嵌入
X-Frame-Options: sameorigin
# (已废弃)只允许被白名单内的页面嵌入
X-Frame-Options: allow-from www.example.com

3 Content-Security-Policy-Report-Only

参考:https://www.w3.org/TR/CSP/

4 X-Content-Type-Options

参考: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Content-Type-Options
响应首部相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定。

5 X-Robots-Tag

参考:https://http.dev/x-robots-tag

6 X-XSS-Protection

参考:https://owasp.org/www-project-secure-headers/#xxxsp

7 HTTP Strict Transport Security (HSTS)

参考:https://owasp.org/www-project-secure-headers/#hsts

标签:web,www,Frame,防护,Content,https,Security,Options,keyclaok
From: https://www.cnblogs.com/lori/p/17241004.html

相关文章

  • webpack-dev-server 不是内部或外部命令
    #项目情景今天下拉了之前的github上面的代码,由于是新电脑,还没有环境,所以node和git都是从官网下载的最新的版本,所以出了点小问题#问题解决参照网上的一些文章后,发现是由于......
  • 做了一夜动画,让大家十分钟搞懂Webpack
    ......
  • javaweb-Cookie、Kaptcha、正则表达式
    资料来源于:B站尚硅谷JavaWeb教程(全新技术栈,全程实战),本人才疏学浅,记录笔记以供日后回顾由于是多个视频内容混合在一起,因此只放了第一个链接视频链接知识点1.Cook......
  • Web前端——HTML5与CSS3新增内容
    Web前端笔记第四部分:HTML5与CSS31.圆角border-radius各种圆角实例/左上角60的圆弧//border-top-left-radius:60px;//四个角设置相同的圆弧//border-radius:60px;//......
  • 《渗透测试》Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份 2023 Day13
       #后端-开源-指纹识别-源码下载CMS识别见上述项目 #后端-闭源-配置不当-源码泄漏参考:https://www.secpulse.com/archives/124398.html备份:敏感目录文件扫......
  • web应用部署合集
    1.环境要求系统需部署Rabbitmq(3.6及以上)Redis(Redis2.8及以上)、JDK(JDK1.8或以上)、Tomcat(Tomcat8或以上)、数据库(Oracle11g或以上、DB29.7或以上、Mysql5.5或以上),并配置好......
  • web项目内网穿透实战
    #请求流转过程,如上所示#下面我会将用到的主要文件,分享在github#frpc.ini/frps.ini/内网nginx.conf/外网nginx.conf#github地址:https://github.com/ainusers/frp.g......
  • Webase-front搭建(第二篇)
    第一篇:FISCOBCOS搭建 第一步:下载安装包wgethttps://osp-1257653870.cos.ap-guangzhou.myqcloud.com/WeBASE/releases/download/v1.5.4/webase-front.zip  在fisco目录......
  • PentestLab-web安全SQL注入-EXP9
    我们打开靶机,选择“SQL Injections”选择“Example9”观察页面盲注的方法如下:无回显,使用延时注入注入点​​http://192.168.1.142/sqli/example9.php?order=if(length(da......
  • 五种常用的web安全认证方式
    https://www.oldboyedu.com/blog/4538.html 现如今web服务器随处可见,千万台web程序被部署到公网上供用户访问,有些系统只针对指定用户开放,属于安全级别较高的web应用,他们......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99