Tomcat的HTTP安全头配置
安全性http响应头是网络防护中非常重要的一环,如今,浏览器支持了一些HTTP安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。
[X-FRAME-OPTIONS]
这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。
OpenAS Tomcat默认值:
sameorigin
[X-Content-Type-Options]
这个header主要用来防止在IE9、chrome和safari中的MIME类型混淆攻击。
OpenAS Tomcat默认值:
nosniff
[X-XSS-Protection]
这个header主要是用来防止浏览器中的反射性xss。
OpenAS Tomcat默认值:
1; mode=block
[Content-Security-Policy]
这个header主要是用来定义页面可以加载哪些资源,减少XSS的发生。
OpenAS Tomcat默认值:
script-src 'self'; default-src 'self'
[X-Download-Options]
这个header主要是用来判定IE浏览器是否允许直接打开下载的文件。
OpenAS Tomcat默认值:
noopen
[Strict-Transport-Security]
这个header主要的作用是强制客户端(如浏览器)使用HTTPS与服务器创建链接,以减少会话劫持的风险。
OpenAS Tomcat默认值:
max-age=31536000; includeSubdomains
[X-FRAME-OPTIONS]
这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。
OpenAS Tomcat默认值:
sameorigin
[X-Content-Type-Options]
这个header主要用来防止在IE9、chrome和safari中的MIME类型混淆攻击。
OpenAS Tomcat默认值:
nosniff
[X-XSS-Protection]
这个header主要是用来防止浏览器中的反射性xss。
OpenAS Tomcat默认值:
1; mode=block
[Content-Security-Policy]
这个header主要是用来定义页面可以加载哪些资源,减少XSS的发生。
OpenAS Tomcat默认值:
script-src 'self'; default-src 'self'
[X-Download-Options]
这个header主要是用来判定IE浏览器是否允许直接打开下载的文件。
OpenAS Tomcat默认值:
noopen
[Strict-Transport-Security]
这个header主要的作用是强制客户端(如浏览器)使用HTTPS与服务器创建链接,以减少会话劫持的风险。
OpenAS Tomcat默认值:
max-age=31536000; includeSubdomains