澳门威利斯人_威利斯人娱乐「手机版」

来自 澳门威利斯人 2019-04-23 20:50 的文章
当前位置: 澳门威利斯人 > 澳门威利斯人 > 正文

威尼斯人娱乐的一些经验分享,Web应用服务器安

让浏览器不再显得 https 页面中的 http 请求警报

2015/08/26 · 基本功技巧 · HTTPS, 浏览器

初稿出处: 李靖(@Barret李靖)   

HTTPS 是 HTTP over Secure Socket Layer,以安全为目的的 HTTP 通道,所以在 HTTPS 承载的页面上区别意出现 http 请求,壹旦出现便是引玉之砖或报错:

Mixed Content: The page at ‘‘ was loaded over HTTPS, but requested an insecure image ‘’. This content should also be served over HTTPS.

HTTPS改换之后,大家得以在重重页面中见到如下警报:

威尼斯人娱乐 1

有的是运维对 https 没有手艺概念,在填充的数目中难免出现 http 的财富,体系变得庞大,出现大意和尾巴也是不可幸免的。

摘要

脚下有为数不少的恶意抨击皆以以网址及其用户作为对象,本文将简要介绍在 Web 服务器1侧的平安加固和测试方法。

攻击方式 防护方式 说明
点击劫持(clickjacking) X-Frame-Options Header -----
基于 SSL 的中间人攻击(SSL Man-in-the-middle) HTTP Strict Transport Security -----
跨站脚本(Cross-site scripting,XSS) X-XSS-Protection、Content-Security-Policy、X-Content-Type-Options -----

有关启用 HTTPS 的有的经历分享

2015/12/04 · 基础技能 · HTTP, HTTPS

原稿出处: imququ(@屈光宇)   

乘势境内互联网蒙受的四处恶化,各类篡改和绑架见怪不怪,越多的网址精选了全站 HTTPS。就在前几天,免费提供注解服务的 Let’s Encrypt 项目也正式开放,HTTPS 相当慢就会化为 WEB 必选项。HTTPS 通过 TLS 层和证书机制提供了内容加密、身份验证和数据完整性三大功用,能够有效卫戍数据被翻动或歪曲,以及幸免中间人冒充。本文分享部分启用 HTTPS 进程中的经验,注重是何许与一些新出的广安专门的工作合营使用。至于 HTTPS 的配置及优化,以前写过许多,本文不重复了。

CSP设置upgrade-insecure-requests

还好 W3C 专门的职业组思量到了大家进级 HTTPS 的不便,在 20一5 年 七月份就出了2个 Upgrade Insecure Requests 的草案,他的功效正是让浏览器自动进级请求。

在大家服务器的响应头中参与:

header("Content-Security-Policy: upgrade-insecure-requests");

1
header("Content-Security-Policy: upgrade-insecure-requests");

大家的页面是 https 的,而那么些页面中含有了汪洋的 http 财富(图片、iframe等),页面一旦发觉存在上述响应头,会在加载 http 财富时自动替换到 https 请求。能够查看 google 提供的四个 demo:

威尼斯人娱乐 2

只是让人不解的是,这几个能源发出了五次呼吁,估量是浏览器完毕的 bug:

威尼斯人娱乐 3

自然,如果大家不便宜在服务器/Nginx 上操作,也足以在页面中进入 meta 头:

XHTML

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

当前支撑这一个装置的还唯有 chrome 四叁.0,但是本身深信,CSP 将改为今后 web 前端安全努力关注和平运动用的始末。而 upgrade-insecure-requests 草案也会快速进入 TiguanFC 形式。

从 W3C 职业组给出的 example,能够见见,这一个装置不会对海外的 a 链接做管理,所以能够放心使用。

1 赞 收藏 评论

威尼斯人娱乐 4

点击威胁(Clickjacking)

点击劫持,clickjacking 是壹种在网页中将恶意代码等隐蔽在类似无毒的始末(如开关)之下,并诱使用户点击的招数,又被称之为分界面伪装(UI redressing)。举例用户接受一封饱含一段录像的电子邮件,但中间的“播放”按键并不会真正播放录像,而是被诈骗进入1个购物网址。

威尼斯人娱乐 5

本着点击胁迫攻击,开放Web应用程序安全项目(Open Web Application Security Project ,OWASP)(非营利组织,其目的是协助个人、集团和机关来开采和行使可依赖软件) 提供了1份辅导,《Defending_with_X-Frame-Options_Response_Headers》 。

X-Frame-Options HTTP 响应头是用来给浏览器提醒允许三个页面可不可以在 frame 标签 可能 object 标签中表现的号子。网址能够动用此意义,来担保自身网址的内容没有被嵌到旁人的网址中去,也由此制止了点击吓唬(clickjacking) 的口诛笔伐。DENY:表示该页面不允许在 frame 中展现,即正是在一样域名的页面中嵌套也不容许。SAMEOPAJEROIGIN:表示该页面能够在同壹域名页面的frame 中显示。ALLOW-FROM uri:表示该页面能够在内定来源的 frame 中显得。配置如下:

//HAProxy
http-response set-header X-Frame-Options:DENY
//Nginx
add_header X-Frame-Options "DENY";
//Java
response.addHeader("x-frame-options","DENY");

理解 Mixed Content

HTTPS 网页中加载的 HTTP 财富被誉为 Mixed Content(混合内容),分歧浏览器对 Mixed Content 有分歧等的管理规则。

跨站脚本 克罗丝-site scripting (XSS)

跨站脚本平常指的是经过行使开垦时预留的纰漏,注入恶意指令代码(JavaScript/Java/VBScript/ActiveX/Flash/HTML等)到网页,使用户加载并推行攻击者恶意创设的顺序。攻击者或然赢得更加高的权限、私密网页、会话和cookie等各类内容。近日有二种差别的 HTTP 响应头能够用来幸免 XSS 攻击,它们是:

  • X-XSS-Protection
  • Content-Security-Policy

早期的 IE

最初的 IE 在开掘 Mixed Content 请求时,会弹出「是不是只查看安全传送的网页内容?」那样1个模态对话框,一旦用户挑选「是」,全数Mixed Content 财富都不会加载;采用「否」,全体财富都加载。

X-XSS-Protection

HTTP X-XSS-Protection 响应头是Internet Explorer,Chrome和Safari的几个成效,当检查评定到跨站脚本攻击 (XSS)时,浏览器将终止加载页面。配置选项:0 不准XSS过滤。一启用XSS过滤(经常浏览器是默许的)。 假诺检验到跨站脚本攻击,浏览器将化解页面(删除不安全的有个别)。mode=block 启用XSS过滤, 若是检查测试到攻击,浏览器将不会化解页面,而是阻止页面加载。report=reporting-U库罗德I 启用XSS过滤。 借使检验到跨站脚本攻击,浏览器将化解页面并运用 CSP report-uri 指令的意义发送违法报告。参考小说《The misunderstood X-XSS-Protection》:

//HAProxy
http-response set-header X-XSS-Protection: 1;mode=block
//Nginx
add_header X-Xss-Protection "1; mode=block" always;;

浏览器援助情形:

Chrome Edge Firefox Internet Explorer Opera Safari
(Yes) (Yes) No 8.0 (Yes) (Yes)

正如新的 IE

相比新的 IE 将模态对话框改为页面尾部的提醒条,未有前面那么干扰用户。而且暗许会加载图片类 Mixed Content,别的如 JavaScript、CSS 等能源照旧会依照用户选用来支配是或不是加载。

Content-Security-Policy

剧情安全性政策(Content Security Policy,CSP)便是1种白名单制度,分明告知客户端哪些外部财富(脚本/图片/音录像等)能够加载和实践。浏览器能够拒绝任何不出自预订义地点的其余内容,从而防卫外部注入的本子和别的此类恶意内容。设置 Content-Security-Policy Header:

//HAProxy:
http-response set-header Content-Security-Policy:script-src https://www.google-analytics.com;https://q.quora.com
//Nginx
add_header Content-Security-Policy-Report-Only "script-src https://www.google-analytics.com https://q.quora.com";

今世浏览器

今世浏览器(Chrome、Firefox、Safari、Microsoft 艾德ge),基本上都服从了 W3C 的 Mixed Content 规范,将 Mixed Content 分为Optionally-blockable 和 Blockable 两类:

Optionally-blockable 类 Mixed Content 包蕴那多少个危急非常的小,就算被中间人歪曲也无大碍的财富。今世浏览器私下认可会加载这类能源,同时会在调整台打字与印刷警告音讯。那类财富包蕴:

  • 通过 <img> 标签加载的图形(包含 SVG 图片);
  • 通过 <video> / <audio> 和 <source> 标签加载的录制或音频;
  • 预读的(Prefetched)资源;

除此之外全部的 Mixed Content 都以 Blockable,浏览器必须禁止加载那类能源。所以今世浏览器中,对于 HTTPS 页面中的 JavaScript、CSS 等 HTTP 能源,一律不加载,直接在调整台打字与印刷错误信息。

本文由澳门威利斯人发布于澳门威利斯人,转载请注明出处:威尼斯人娱乐的一些经验分享,Web应用服务器安

关键词: 澳门威利斯人 基础技术 网络与