什么是HTTP Security Headers安全标头
HTTP 安全标头是一种安全措施,它允许您网站的服务器在影响您的网站之前阻止一些常见的安全威胁。
基本上,当用户访问您的网站时,您的 Web服务器会将 HTTP 标头响应发送回他们的浏览器。此响应告诉浏览器有关错误代码、缓存控制和其他状态的信息。本文晓得博客为你详细介绍Security Headers安全标头。
HTTP Security Headers安全标头类型
当我们使用 webpagetest.org 等测试网站的性能时,有时会出现 Security Score 安全得分,等级分为A-F,这个地方就是代表这你的网站有安全漏洞。
正常的标头响应会发出一个称为 HTTP 200 的状态。之后您的网站将在用户浏览器中加载。但是,如果您的网站遇到问题,那么您的 Web 服务器可能会发送不同的 HTTP 标头。
例如,它可能会发送 500 内部服务器错误,推荐:如何修复 WordPress网站的 500 内部服务器错误
或者显示未找到 404 错误代码。推荐:什么是 404 页面?
HTTP 安全标头是这些标头的一个子集,用于防止网站受到常见威胁,例如点击劫持、跨站点脚本、暴力攻击等。让我们快速浏览一下 HTTP 安全标头的外观以及它们如何保护您的网站。
1、X-Xss-Protection:保护标头允许您阻止跨站点脚本加载到您的 WordPress 网站上。
2、X-Frame-Options:可防止跨域 iframe 或点击劫持。
3、X-Content-Type-Options:阻止内容 mime-type 嗅探。
4、Strict-Transport-Security:是一项出色的功能,可支持您的站点,并通过让用户代理强制使用 HTTPS 来加强您的 TLS 实施
5、Content-Security-Policy:是保护您的站点免受 XSS 攻击的有效措施。通过将已批准内容的来源列入白名单,您可以防止浏览器加载恶意资产
6、Referrer-Policy:它允许站点控制浏览器包含多少信息以及远离文档的导航,并且应该由所有站点设置。
7、Permissions-Policy:允许站点控制可以在浏览器中使用哪些功能和 API
检查网站的Security Headers
如果想要测试网站是否添加已 HTTP 安全标头,可以使用免费的安全标头工具测试您的配置。只需输入您的网站 URL,然后单击“扫描”按钮。
然后它会检查您网站的 HTTP 安全标头,并向您显示报告。该工具会生成一个等级标签,它将显示您的网站发送了哪些 HTTP 安全标头,以及哪些安全标头不包括在内。如果您想设置的安全标头列在那里,那么您就完成了。
注意:如果要取得A,需要将上述所有的 Security Headers安全标头添加到网站。
推荐:什么是HTTP/2