堆棧內存溢出
  簡體   English   中英

安全標頭應該在哪里? 響應頭還是請求頭?

[英]Where should the security headers be? Response headers or Request headers?

 原文  2016-03-23 07:17:21       security/ http-headers/ content-security-policy/ request-headers/ response-headers

問題描述

安全標頭如

x-content-type-options:nosniff
x-frame-options:SAMEORIGIN
x-ua-compatible:IE=edge, chrome=1
x-xss-protection:1; mode=block

應該是請求頭還是響應頭? 為什么?

2 個解決方案

解決方案1
 2  2016-03-28 19:12:44

瀏覽器使用所有這些標頭(如大多數 http 安全標頭)來啟用瀏覽器中的安全功能。

因此它們需要在服務器發送到瀏覽器的響應頭中。

在請求頭(從瀏覽器發送到服務器)中設置它們沒有任何作用,因為服務器不使用它們。

解決方案2
 0  2016-03-23 12:32:19

它應該是響應頭,例如: x-content-type-options:nosniff:這是一項安全功能,有助於防止基於 MIME 類型混淆的攻擊。 您可以在Veracode 站點Owasp 站點MSDN 站點上閱讀完整的詳細信息

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 安全標頭 是否應該在Nginx中設置安全標頭/策略或表達? 使用隨機頭的HTTP(S)請求安全性 我應該為哪些 Content-Type 設置與安全相關的 HTTP 響應標頭? http標頭的安全性 Breeze JS安全性和標題 安全原因,以維護允許的HTTP響應標頭的白名單 通過郵件頭的WCF安全性 使用 HTTP 標頭的 Spring Security .net核心安全頭中間件不向外部http請求添加頭
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM