资讯专栏INFORMATION COLUMN

一些安全相关的HTTP header

EscapedDog / 2497人阅读

摘要:作用禁用浏览器的猜测行为。不允许的情况下,浏览器会模拟一个状态为的响应。可能会泄漏敏感信息作用防止中间人攻击。是网站防止攻击者利用错误签发的证书进行中间人攻击的一种安全机制,用于预防遭入侵或者其他会造成签发未授权证书的情况。

1.Strict-Transport-Security

HTTP Strict-Transport-Security,简称为HSTS。
作用:允许一个HTTPS网站,要求浏览器总是通过HTTPS访问它。

strict-transport-security: max-age=16070400; includeSubDomains
  • includeSubDomains,可选,用于指定是否作用于子域名
  • 支持HSTS的浏览器遇到这个响应头,会把当前网站加入HSTS列表,然后在max-age指定的秒数内,当前网站所有请求都会被浏览器重定向为https。
  • Chrome内置了一个HSTS列表,默认包含Google、Paypal、Twitter、Linode等服务。输入chrome://net-internals/#hsts,进入HSTS管理界面,可以增加/删除/查询HSTS记录。

2.X-Frame-Options:是否允许一个页面可在、