Spring Security 与 HTTP 安全 header
HTTP 安全header对于网站安全防护来说至关重要。借助安全header,我们可以降低网站遭受攻击的风险。
Spring Security作为Spring家族御用的安全框架,自然考虑到了这方面的需求。它为我们提供了大量预定义好的配置,可减小开发工作量。
下面章节介绍常用的安全header,和Spring Security中的配置 *** 。
用于控制Request和Response的缓存机制。可以通过如下设置,禁用cache:
禁用cache的 *** 如下:
用于控制客户浏览器可加载哪些外部资源。相当于一个白名单,从而减少攻击者注入恶意脚本的可能性。
该 header的配置 *** 较为复杂,可参考: Content Security Policy 入门教程 - 阮一峰的 *** 日志 (ruanyifeng.com)
主要是以下三种场景会发送Referer字段。
(1)用户点击网页上的链接。
(2)用户发送表单。
(3)网页加载静态资源,比如加载图片、脚本、样式。
可以使用 rel 属性,修改默认的referer行为。
rel属性只能定制单个元素的Referer行为,而且选择比较少,只能发送或不发送。W3C 为此制定了更强大的 Referrer Policy。
Referrer Policy 可以设定8个值。
(1)no-referrer
不发送Referer字段。
(2)no-referrer-when-downgrade
如果从 HTTPS 网址链接到 HTTP 网址,不发送Referer字段,其他情况发送(包括 HTTP 网址链接到 HTTPS 网址)。这是浏览器的默认行为。
(3)same-origin
链接到同源网址(协议+域名+端口 都相同)时发送,否则不发送。注意, 链接到 也属于跨域。
(4)origin
Referer字段一律只发送源信息(协议+域名+端口),不管是否跨域。
(5)strict-origin
如果从 HTTPS 网址链接到 HTTP 网址,不发送Referer字段,其他情况只发送源信息。
(6)origin-when-cross-origin
同源时,发送完整的Referer字段,跨域时发送源信息。
(7)strict-origin-when-cross-origin
同源时,发送完整的Referer字段;跨域时,如果 HTTPS 网址链接到 HTTP 网址,不发送Referer字段,否则发送源信息。
(8)unsafe-url
Referer字段包含源信息、路径和查询字符串,不包含锚点、用户名和密码。
注:以上内容来源于
。侵删。
网站通过这个请求头告诉浏览器,只能通过HTTPS访问该网站,而不是HTTP。
max-age=expire-time
设置在浏览器收到这个请求后的expire-time秒的时间内凡是访问这个域名下的请求都使用HTTPS请求。
includeSubDomains 可选
如果这个可选的参数被指定,那么说明此规则也适用于该网站的所有子域名。
preload 可选
查看 预加载 HSTS 获得详情。不是标准的一部分。
参考链接:
用来确定Content-Type指定的MIME type可否被修改。有些资源的Content-Type是错的或者未定义,这时某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行,有安全风险。可以使用此header用来防止MIME type嗅探攻击。
禁用MIME type嗅探攻击的 *** 为:
X-Frame-Options用来告诉浏览器是否允许渲染 frame , iframe , embed 和 object 内的页面。主要用于防止clickjack攻击。
它有如下三个值:
参考链接: X-Frame-Options - HTTP | MDN (mozilla.org)
这个header用于防御XSS攻击。当浏览器检测到疑似XSS攻击的时候,自动阻止页面加载。
该header的配置项如下:
对于常用的HTTP header,Spring Security已经有现成的 *** 可用。但是对于自定义的header,我们要如何处理呢?
Spring Security提供了 addHeaderWriter *** ,可用于添加任意的 HeaderWriter :
阮一峰的简介谁知道?必须是真诚的回答
阮一峰是个牛人,他的博克非常值得读。根据东升做的人肉搜索,他原是上海财经大学世界经济博士研究生。主要研究宏观金融、货币政策与美国经济。今年(2008年)6月获得博士学位。恭贺!不知道他现在哪里高就。除了写博克以外,他还有三个网站:微趣、Italo Calvino in China和读书公园。
*** 请求出错什么意思
一:运营商(传输、交换 *** 的故障)的责任:运营商必须保证到用户的信号质量(带宽、误码率、信杂比、传输速率、信号电平、输入输出阻抗、信号的稳定度、输入输出阻抗的稳定性)符合国家标准)
二:用户(责任)下列因素会导致你目前的状态,如果经检测上述运营商没有问题,接下来,就是你用户自己的问题了;如果你不存在下列问题,你就可以直接打运营商 *** ,让运营商给你处运营商自己的相关事宜。
三:网站的问题:1:网站服务器不稳定;2:网站的软件不稳定;3:网站运行维护质量水平较低;不能及时的排除故障;
*** 是由若干节点和连接这些节点的链路构成,表示诸多对象及其相互联系。
在1999年之前,人们一般认为 *** 的结构都是随机的。但随着Barabasi和Watts在1999年分别发现了 *** 的无标度和小世界特性并分别在世界著名的《科学》和《自然》杂志上发表了他们的发现之后,人们才认识到 *** 的复杂性。 [1]
*** 会借助文字阅读、图片查看、影音播放、下载传输、游戏、聊天等软件工具从文字、图片、声音、视频等方面给人们带来极其丰富的生活和美好的享受。
汉语中,“ *** ”一词最早用于电学《现代汉语词典》(1993年版)做出这样的解释:“在电的系统中,由若干元件组成的用来使电信号按一定要求传输的电路或这种电路的部分,叫 *** 。”
在数学上, *** 是一种图,一般认为专指加权图。 *** 除了数学定义外,还有具体的物理含义,即 *** 是从某种相同类型的实际问题中抽象出来的模型。在计算机领域中, *** 是信息传输、接收、共享的虚拟平台,通过它把各个点、面、体的信息联系到一起,从而实现这些资源的共享。 *** 是人类发展史来最重要的发明,提高了科技和人类社会的发展。
中国公用计算机互联网
CHINANET,又称邮电部互联网、中国公用Internet网,是邮电部经营管理的基于Internet *** 技术的电子信息网,1995年初与国际互联网连通,并于5月向社会提供服务。CHINANET由骨干网、接入网组成,骨干网是其主要信息通路,由直辖市和各省会城市的 *** 节点构成;接入网是各省(区)建设的 *** 接点形成的 *** 。CHINANET的灵活接入方式和遍布全国各城市的接入点,可以方便地接入国际Internet, 享用Internet上的丰富信息资源和各种服务,并可为国内的计算机互联,为国内的信息资源共享提供方便的 *** 环境。
中国教育与科研网
CERNET,1994年启动,1995年底完成首期工程,包括北京( *** 中心)、上海、南京、广州、武汉、西安、成都和沈阳等高等学校集中的大城市。有连接美国的国际专线。全国主干网(共11条64KbpsDDN专线)于1995年10月开通。二期工程完成后,全国主干网和国际联网的逐步升级,主干网达到2Kbps以上,国际联网达到8Kbps以上。
中国科学技术网
CSTNET,由中国科学院主持,联合清华、北大共同建设。1994年4月开通了与Internet的专线连接。1994年5月21日完成了我国更高域名CN主服务器的设置,实现了与Internet的TCP/IP连接。1995年底基本完成“百所联网”工程。至1997年底,已连接100多个以太网、3000多台计算机、1万多名用户,成为中国地域广、用量大、性能好、通信量大、服务设施齐全的全国性科研教育 *** 。
0条大神的评论