中文字幕精品亚洲无线码二区,国产黄a三级三级三级看三级,亚洲七七久久桃花影院,丰满少妇被猛烈进入,国产小视频在线观看网站

keyclaok~web安全防護

安全配置Security Defenses

通過對Security Defenses的(de)配置(zhi) ,可以對http頭添(tian)加相應的(de)安(an)全配置(zhi) ,如CSP, X-Frame-Options,  X-Content-Type-Option等

1 X-Frame-Options

推薦使(shi)用CSP,不建議使(shi)用X-Frame-Options頭

參考:

  • 它對于html頁面不起作用,響應頭里無這個信息,X-Frame-Options SAMEORIGIN,其中SAMEORIGIN表示同源(同域名),a.shop.com和www.shop.com不是同一域名

你的網站(zhan)添加了(le)X-Frame-Options之后,保存了(le)自己的網站(zhan)不(bu)被(bei)其它網站(zhan)引用,比如其它網站(zhan)想iframe你的網站(zhan),通(tong)過X-Frame-Options DENY之后,其它網站(zhan)是不(bu)容許(xu)iframe你的網站(zhan)的。

HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 , 或者 中展現的標記。網站可以使用此功能,來確保自己網站的內容沒有被嵌套到別人的網站中去,也從而避免了點擊劫持 (clickjacking) 的攻擊。

現(xian)代瀏覽器(qi)(qi)遵循 X-Frame-Options 協(xie)議(yi)頭(tou),它(ta)表(biao)明(ming)一個(ge)資源(yuan)是(shi)否允許加(jia)載(zai)到 frame 或(huo)者 iframe 中。 如(ru)果(guo)響應包含值為(wei) SAMEORIGIN 的協(xie)議(yi)頭(tou),瀏覽器(qi)(qi)會在(zai) frame 中只加(jia)載(zai)同源(yuan)請(qing)求的的資源(yuan);如(ru)果(guo)協(xie)議(yi)頭(tou)設置為(wei) ,瀏覽器(qi)(qi)會在(zai)加(jia)載(zai) frame 時屏蔽所有資源(yuan),無論(lun)請(qing)求來自于哪個(ge)站點;如(ru)果(guo)希望(wang)開放給某個(ge)域(yu)名,可以使用ALLOW-FROM uri來實現(xian)它(ta),DENY表(biao)示拒絕所有請(qing)求。

如果在kc中配置了它,并且在其它網站想通過iframe嵌入KC的頁面,那么,如果使用SAMEORIGIN
它會出現如下圖(tu)提示(shi);如果是(shi)同源網站,是(shi)可以通過iframe訪問它的

# 不允許被嵌入,包括<frame>, <iframe>, <embed> 和 <object>
X-Frame-Options: deny

# 只允許被同源的頁面嵌入
X-Frame-Options: sameorigin

# (已廢棄)只允許被白名單內的頁面嵌入,很多瀏覽器已不在支持,推薦直接CSP
X-Frame-Options:ALLOW_FROM www.example.com

#只容許被baidu.com這個域名和它的所有子域名和不同端口等嵌套本網站,例如a.baidu.com,b.baidu.com:8081等
X-Frame-Options:ALLOW_FROM baidu.com

2 Content Security Policy

參考:

你的網站需要引用外部資源,如你需要引用微信的js腳本,或者需要iframe微信的頁面,這時,你需要配置自己網站的CSP,將微信添加到白名單即可,例如:frame-src 'self'
"網頁(ye)安全政策"(Content Security Policy,縮寫 CSP)CSP 的實(shi)質(zhi)就是白(bai)名單制度,開(kai)發者明確告(gao)訴客戶端,哪些外(wai)部資源(yuan)可以(yi)加載和執(zhi)行,等同于提供白(bai)名單。它的實(shi)現和執(zhi)行全部由(you)瀏(liu)覽器完成(cheng),開(kai)發者只需提供配置。

# keycloak`不去嵌套其它網絡`的資源
Content-Security-Policy: frame-src 'self'

# keycloak`不允許被其它網站`嵌入,包括<frame>, <iframe>, <object>, <embed> 和 <applet>
Content-Security-Policy: frame-ancestors 'none'

# 只允許被同源的頁面嵌入
Content-Security-Policy: frame-ancestors 'self'

# 只允許被白名單的網站嵌入
Content-Security-Policy: frame-ancestors www.example.com

**注意:由于keycloak對接的微信掃碼功能,采用了iframe的方式嵌入微信的二維碼頁面,所以這塊我們不能配置,不然微信不能使用,或者使用Content-Security-Policy: frame-src open.weixin.qq.com

CSP中的unsafe-inline和unsafe-eval

在CSP(內容安全策略)的script-src指令中添加 'unsafe-inline''unsafe-eval' 的作用是允許頁面使用內聯腳本和使用 函數執行(xing)動態腳本。

具體解釋如下:

  1. 'unsafe-inline':允許頁面使用內聯腳本。內聯腳本是直接嵌入在 HTML 中的 JavaScript 代碼,例如 <script>alert('Hello, World!');</script>。默認情(qing)況(kuang)下,CSP 不允(yun)(yun)許使用內聯腳本(ben),因為(wei)它們增加(jia)了跨(kua)站腳本(ben)攻擊(XSS)的風(feng)險。然而(er),在某(mou)些情(qing)況(kuang)下,可(ke)能(neng)需要允(yun)(yun)許內聯腳本(ben)來實(shi)現特定(ding)的功能(neng)或與舊代碼兼容。

  2. 'unsafe-eval':允許頁面使用 函數來實(shi)現動(dong)態腳(jiao)本加載或(huo)其他特定功能。

需要注意的是,添加 'unsafe-inline''unsafe-eval' 可能會降低網頁的安全性,因為它們打開了潛在的漏洞。在實際使用中,應該盡量避免使用這兩個選項,并優先考慮使用更安全的替代方法,如外部腳本文件和更嚴格的代碼驗證。只有在確保沒有其他可行的解決方案,并且確保內聯腳本和 的(de)使用是安全的(de)情況下,才應該考慮(lv)添(tian)加這兩(liang)個(ge)選項。

3 Content-Security-Policy-Report-Only

參考:

與Content Security Policy的配置相(xiang)同,但(dan)它不做(zuo)限制,只是做(zuo)為記(ji)錄

4 X-Content-Type-Options

參考:

如果(guo)服務器發送響(xiang)應(ying)頭(tou) "X-Content-Type-Options: nosniff",則 script 和 styleSheet 元素會(hui)拒絕(jue)包含錯誤的(de)(de) MIME 類型的(de)(de)響(xiang)應(ying)。這是一(yi)種(zhong)安(an)全功(gong)能,有助于(yu)(yu)防(fang)止基于(yu)(yu) MIME 類型混淆(xiao)的(de)(de)攻擊。

5 X-Robots-Tag

參考:

機(ji)器人元標(biao)簽,Robots 元標(biao)記(ji),也稱為robots 標(biao)記(ji),是一段 HTML 代碼(ma),位于(yu)網頁的 部(bu)分,用于(yu)控制搜索引(yin)擎如何抓(zhua)取和索引(yin) URL。

機器人元標簽有什么用?

機器人(ren)元標記用于控(kong)制 Google 如(ru)何為您的網頁內容編(bian)制索引。這包括:

  • 是否在搜索結果中包含頁面
  • 是否遵循頁面上的鏈接(即使它被阻止被索引)
  • 請求不索引頁面上的圖像
  • 請求不在 SERP 上顯示網頁的緩存結果
  • 請求不在 SERP 上顯示頁面的片段(元描述)

常見的搜索引擎

  • Google:Googlebot
  • Bing:Bingbot
  • DuckDuckGo :
  • 百度:
  • Yandex :

6 X-XSS-Protection

參考:

  • 這是 HTTP 的一個響應頭字段,要開啟很簡單,在服務器的響應報文里加上這個字段即可。瀏覽器接收到這個字段則會啟用對應的 XSS 防范模塊。
  • IE、Chrome 和 Safari 都內置了這個模塊。edge 和火狐沒有內置這個模塊。
  • 開啟這個功能后,當瀏覽器檢測到跨站腳本攻擊(XSS)時,瀏覽器將對頁面做清理或直接阻止整個頁面的加載。

配置列表

  • X-XSS-Protection : 0 表示禁用 XSS 過濾這個功能
  • X-XSS-Protection : 1 表示啟用 XSS 過濾
  • X-XSS-Protection : 1;mode=block 表示啟用XSS過濾器
  • X-XSS-Protection : 1;report= 表示啟用 XSS 過濾,并使用report-uri的功能 POST 一個 XSS 警報。這個功能只有在 Chrome 中有效果,在 IE 中無效

7 HTTP Strict Transport Security (HSTS)

參考:

HSTS是一(yi)個安(an)全功能,它告訴瀏覽器只能通過HTTPS訪問當前資源, 禁止HTTP方(fang)式。

  • 配置舉例:
    Strict-Transport-Security: max-age=31536000; includeSubDomains
    • 在接下來的一年(即31536000秒)中,瀏覽器只要向example.com或其子域名發送HTTP請求時,必須采用HTTPS來發起連接。比如,用戶點擊超鏈接或在地址欄輸入 ,瀏覽器應當自動將 http 轉寫成 https,然后直接向 發送請求。
    • 在接下來的一年中,如果 example.com 服務器發送的TLS證書無效,用戶不能忽略瀏覽器警告繼續訪問網站。

posted @ 2023-03-21 18:34  張占嶺  閱讀(345)  評論(0)    收藏  舉報