Referer是用来防止 CORS(跨站请求伪造)的一种最常见及有效的方式。对于自身服务器,通过客户端发来的请求中带有的referer信息,可以判断该请求是否来源于本网站。这样就可以一定程度上避免其他网站盗取自身服务器信息,或者可以通过referer来实现广告流量引流,说白了,referer是一种客户端带到服务器的客户端信息,而Referrer-P...
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源,禁止HTTP方式,因为HTTPS协议存在加密层,本身更安全。一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://xxxx...
X-Download-Options,这个header主要是用来判定IE浏览器是否允许直接打开下载的文件,用于防止直接打开要下载的文件。X-Download-Options的语法:X-Download-Options:noopennoopen用于指定IE8以上版本的用户不打开文件而直接保存文件,在下载对话框中不显示打开选项。
与 CORS 非常相似的是,X-Permitted-Cross-Domain-Policies 针对 Adobe 产品(即Flash和Acrobat)的跨域策略。Adobe 产品通过请求目标域根目录中的 cross-domain.xml 文件处理跨域请求,并且 X-Permitted-Cross-Domain-Policies 定义了访问该文件的策...
Content-Security-Policy,中文翻译为:内容安全策略(CSP)。其核心思想为:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的,什么是需要被禁止的,被誉为专门为解决XSS攻击而生的神器。内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是...
X-XSS-Protection是浏览器内置的一种 XSS 防范措施。这是 HTTP 的一个响应头字段,要开启很简单,在服务器的响应报文里加上这个字段即可。浏览器接收到这个字段,则会启用对应的 XSS 防范模块,这个模块只能检测反射型的 XSS。在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换)。X-XSS-P...
X-Content-Type-Options可以防止浏览器进行MIME类型的嗅探,大多数浏览器现在都支持此标头,Chrome、Firefox和Edge以及其他浏览器都支持。该消息头最初是由微软在 IE 8 浏览器中引入的,提供给网站管理员用作禁用内容嗅探的手段,内容嗅探技术可能会把不可执行的 MIME 类型转变为可执行的 MIME 类型。X-Con...
您已成功复制微信号
leishi010
打开微信添加好友?
确定
