http头部安全使用 <meta>

request-response中,用户与网站服务器之间发送各种HTTP头部。服务器发送给浏览器的一些HTTP响应头有助于增强网站用户的安全性和隐私。这些头部通常被称为安全头部。它们的范围可以从强制浏览器始终通过https访问您的网站(Strict-Transport-Security)到防止网站用户遭受跨站脚本和点击劫持攻击。您可以使用securityheaders.com检查您的网站的安全头部设置情况。

这些安全头部(或任何HTTP响应头)通常通过服务器配置设置,即nginx配置、Apache配置或类似配置。然而,在某些情况下,比如使用GitHub Pages托管静态网站,开发者对HTTP响应头的控制不太多。在这种情况下,通过HTML本身声明性地添加安全头部的能力会很有帮助。<meta> HTML标签有助于设置两个这样的安全头部 - Referrer PolicyContent Security Policy

使用<meta name> 设置引用策略

一个常见的使用 <meta> HTML标签的方式是使用namecontent属性。HTML标准允许<meta> 元素具有 name="referrer",这会作为Referrer-Policy头部传递。content属性定义了Referrer-Policy头部的值。例如,

<meta name="referrer" content="no-referrer">

将创建HTTP响应头:Referrer-Policy: no-referrer。这将确保您网站的任何访问者,如果他们在您的网站中点击链接,则不会共享访问者的Referrer信息给该链接。因此,访问的链接将不知道用户从哪个先前的URL点击了链接,有助于保护用户的隐私。有一些不同的Referrer-Policy值允许在导航链接或子资源中共享不同级别的信息。

HTML还允许通过以下几种方式设置单个链接的Referrer-Policy

  • referrerpolicy attribute
  • rel="noreferrer".

referrerpolicy属性可以这样使用:

<a href="http://example.com" referrerpolicy="origin">

这意味着当用户点击此特定锚点标签时,只会发送当前网站的源信息到 https://example.comreferrerpolicy属性也可以设置在像<img><iframe>这样的元素上,以控制它们的Referrer-Policy

在锚点标签中添加rel="noreferrer"可确保不会发送当前网页的引荐者信息到访问网页。

使用http-equiv设置内容安全策略

使用<meta>标签的另一种方式是使用http-equiv属性而不是name属性。服务器使用http-equiv属性创建各种HTTP响应头。其中一种头部是内容安全策略。内容安全策略(CSP)用于确定页面中加载的内容是否来自受信任的来源。CSP在控制从加载脚本到表单目标设置的各种不同内容方面非常灵活,因此可以保护您的用户免受各种攻击,如点击劫持攻击和跨站脚本攻击。

使用http-equiv添加CSP的方法是:

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; form-action 'none'">

上述代码创建了一个等效的HTTP响应头

Content-Security-Policy: "script-src 'self'; form-action 'none';"

上述示例中的script-src指令确保在<script>元素中加载的URL来自与当前网页相同的来源,并禁止来自其他网站的任何内联脚本或脚本URLform-action指令确保不允许从当前网页提交表单。这两者都有助于防止跨站脚本攻击。

注意:要注意的一点是使用这种方法,无法为CSP设置report-uriframe-ancestorssandbox指令。如果使用<meta>标签添加了这些指令,则它们将在执行策略之前从策略中移除。

<meta>中的无效安全头部

使用 <meta>标签添加安全头部的一个问题是开发者通常认为任何HTTP安全响应头都可以通过这种方法添加。这是不正确的,而且往往会导致一种虚假的安全感,因为浏览器会忽略任何无效的安全头部。重要的是要记住,虽然http-equiv有助于定义HTTP响应头,但它是一个枚举属性。因此,它只能帮助传递一组固定的HTTP头部,任何其他使用此方法设置的HTTP头部都将被忽略。

发现了在桌面上访问的网站中有0.08%的网站具有无效的安全头部。因此,总的来说,使用 <meta>元素提供引用策略和内容安全策略安全头部可以非常有用,并保护您的用户的安全和隐私,但同时也很重要意识到这种方法的局限性。

参考文档:

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 157,538评论 4 361
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 66,800评论 1 290
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 107,329评论 0 238
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,725评论 0 203
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,089评论 3 286
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,449评论 1 212
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,758评论 2 311
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,448评论 0 195
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,152评论 1 239
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,432评论 2 244
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,933评论 1 258
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,289评论 2 252
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,921评论 3 234
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,023评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,781评论 0 192
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,477评论 2 270
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,381评论 2 263

推荐阅读更多精彩内容

  • 理解 HTTP 协议对构建网络应用是一个非常基础的要求,比如爬虫类程序,必须深入理解 Request 和 Reso...
    马六甲的笔记阅读 374评论 0 0
  • https://www.html5rocks.com/en/tutorials/security/content-...
    谢大见阅读 5,398评论 0 3
  • META元素通常用于指定网页的描述,关键词,作者及其他元数据。 包括的属性有:charset、http-equiv...
    不知所语阅读 907评论 2 2
  • 使用以下HTTP头部可帮你快速容易地预防XSS攻击、点击挟持攻击、MIME嗅探和中间人攻击。如果目前还没使用,通过...
    牧童US阅读 1,411评论 0 0
  • 标签可提供页面数据的元信息(meta information)。 标签位于文档头部,不包含内容,其属性定义了与文档...
    一颗脑袋阅读 1,451评论 0 1