X-Content-Type-Options和 X-XSS-Protection
2024-08-23 13:42:37
X-Content-Type-Options
互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。
例如,我们即使给一个html文档指定Content-Type为"text/plain",在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。通过下面这个响应头可以禁用浏览器的类型猜测行为:
X-Content-Type-Options: nosniff
PHP设置
header("X-Content-Type-Options:nosniff");
X-XSS-Protection
顾名思义,这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置:
- 0:禁用XSS保护;
- 1:启用XSS保护;
- 1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);
浏览器提供的XSS保护机制并不完美,但是开启后仍然可以提升攻击难度,总之没有特别的理由,不要关闭它。
PHP设置
header("X-XSS-Protection: 1");
参考:https://www.itcodemonkey.com/article/5052.html
最新文章
- 用Java代码实现拦截区域网数据包
- HTML 表格的属性设置
- XHTML学习进度备忘
- codevs 1197 Vigenère密码
- wkhtmltopdf 将网页生成pdf文件
- JS中遍历普通数组和字典数组的区别
- Eclipse(MyEclipse)使用技巧——改动凝视字体大小
- 【转】 linux内核移植和驱动添加(三)
- MinGW介绍与使用
- ajax文本空输入显示用户信息
- Strusts2--课程笔记7
- Android相机是如何获取到图像的
- 配置VNC SERVER 远程访问
- nyoj 复杂度
- vue版 文字滚动
- Java Number & Math 类
- libreoffice python 操作word及excel文档
- 中国队再创佳绩,IOI2018喜获四金
- [UE4]使用DataTable
- AngularJS 杂项知识点