设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:SecYe > 网络安全 > 应用安全 > 正文

Web应用安全十大主动安全措施

时间:2013-09-27 13:58 来源:未知 作者:www.secye.com 阅读:

1Content-Security-Policy

Content Security Policy是Mozilla为了提高浏览器安全性开发的一套新的安全机制,该机制让网站可以定义内容安全政策,明确告知浏览器哪些内容是合法的,让浏览器得以避开恶意内容。CSP主要锁定解决XSS及跨站冒名请求(Cross Site Request Forgery)等网络应用程序漏洞。强烈建议用户将该告警打开,你可以看到哪些数据在干坏事。

在Web上,此策略是通过HTTP头或meta元素定义的。在Chrome扩展系统中,不存在这两种方式。扩展是通过manifest.json文件定义的:

{

…,

“content_security_policy”: “[POLICY STRING GOES HERE]“

}

关于CSP语法的详细信息,请参考W3C的 Content Security Policy 规范。

2设置X-Frame

所有的现代浏览器都支持X-Frame-Options HTTP头,这个头允许页面被iframe使用时是否正常渲染。通过使用X-FRAME-OPTIONS伪指令,Web开发人员可以立即帮助IE8用户减轻来自各种Web 应用程序攻击的威胁。

使用X-Frame-Options 有两种可能的值:

 

DENY :该页无法显示在一个框架中.

SAMEORIGHT :页面只能显示在页面本网站的框架中.

换句话说,通过

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%