針對像德勤這樣的專業滲透測試(Pentest)的場景中,為了確保網站的安全性并通過嚴格的安全審查,需要為這些安全頭配置更細致���、專業的參數��。
以下是對每個選項的建議以及設置值的詳細說明:
1. Strict-Transport-Security (HSTS)
確保所有通信強制通過 HTTPS 并防止降級攻擊���。
推薦值:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
參數解釋:
max-age=31536000:HSTS 緩存有效期設為 1 年(以秒為單位),確保長期有效。includeSubDomains:將 HSTS 策略擴展到所有子域名,避免主域和子域之間的攻擊風險。preload:將域名提交到 HSTS 預加載列表以防止首次訪問時的降級攻擊�����。需要在 HSTS Preload List 提交域名�����。
2. Content-Security-Policy (CSP)
定義允許加載的內容來源���,防止跨站腳本(XSS)和數據注入攻擊���。
推薦值(需根據業務需求定制):
add_header Content-Security-Policy "default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'; form-action 'self';" always;
參數解釋:
default-src 'none':默認禁止加載任何外部資源���。script-src 'self':僅允許加載本域的腳本�����。style-src 'self':僅允許加載本域的樣式��。img-src 'self' data::僅允許加載本域的圖片和 Base64 內嵌的圖片。font-src 'self':僅允許加載本域的字體��。object-src 'none':禁止加載插件內容(如 Flash)��。frame-ancestors 'none':防止網站被嵌入到 iframe 中,防止點擊劫持攻擊。base-uri 'self':限制 <base> 標簽的 URL�����。form-action 'self':只允許表單提交到本站���,防止 CSRF 攻擊���。
注意:
- CSP 策略需與網站的實際需求相匹配�����,以避免破壞正常功能���。
- 如果網站需要使用第三方資源(如 Google Fonts 或 CDN)��,需明確指定來源,例如:
script-src 'self' https://example.com; style-src 'self' https://fonts.googleapis.com;.
3. X-Content-Type-Options
防止 MIME 類型混淆攻擊���,強制瀏覽器遵循 Content-Type 響應頭。
推薦值:
add_header X-Content-Type-Options "nosniff" always;
參數解釋:
nosniff:禁止瀏覽器進行內容類型嗅探,防止將非預期內容(如腳本文件)執行。
4. X-XSS-Protection
啟用瀏覽器的內置 XSS 保護機制(某些現代瀏覽器已默認禁用該功能)���。
推薦值:
add_header X-XSS-Protection "1; mode=block" always;
參數解釋:
1:啟用 XSS 保護。mode=block:檢測到潛在攻擊時,阻止頁面加載��,而不是僅僅清理惡意內容��。
注意:
- 當前瀏覽器(如 Chrome 和 Edge)不再支持 XSS 保護頭部��,建議將 CSP 作為首選防護方案。
- 如果目標用戶中仍有使用舊版瀏覽器的場景���,可以啟用此頭�����。
其他安全頭建議(可選):
1. Referrer-Policy
控制瀏覽器在跳轉時發送的引用信息�����。
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
2. Permissions-Policy(前身為 Feature-Policy)
限制瀏覽器功能(如地理位置、攝像頭���、麥克風等)的訪問權限。
add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;
檢查安全頭的生效情況:
- 工具推薦:使用以下工具驗證頭部配置:
- 使用
curl 查看響應頭:curl -I https://your-domain.com
?轉自https://www.cnblogs.com/tianqing/p/18590686
該文章在 2025/2/14 11:56:25 編輯過
400 186 1886
