【必須】新增安全響應頭 跨站指令碼注入攻擊
阿新 • • 發佈:2022-05-10
https://github.com/Tencent/secguide/blob/main/Go安全指南.md
1.6.2 【必須】新增安全響應頭
- 所有介面、頁面,新增響應頭
X-Content-Type-Options: nosniff
。 - 所有介面、頁面,新增響應頭
X-Frame-Options
。按需合理設定其允許範圍,包括:DENY
、SAMEORIGIN
、ALLOW-FROM origin
。用法參考:MDN文件
最全HTTP安全響應頭設定指南_語言 & 開發_Charlie Belmer_InfoQ精選文章 https://www.infoq.cn/article/SHlQeOJDEfSx*P5Cjg1s
關於MIME TYPE報錯 - 簡書 https://www.jianshu.com/p/8590a275f23a
X-Content-Type-Options
該響應報頭確保瀏覽器遵守應用程式設定的 MIME 型別。這有助於防止某些型別的跨站指令碼注入攻擊。
它還能減少瀏覽器“猜測”某些內容不正確時的意外應用程式行為,例如,當開發人員將某個頁面標記為“HTML”,但瀏覽器認為它更像 JavaScript,並試圖將其渲染為 JavaScript 時。該響應報頭能確保瀏覽器始終遵守服務端設定的 MIME 型別。
X-Content-Type-Options: nosniff