2019-M01 - Security Header 在之前的经验中 有不少研究、开发人员对於网页服务中的一些安全性设定不是很了解 在这篇[0] 文章中有帮忙整理了一些 对於网页服务需要设定的 header X- 系列的 HTTP Header 在 MDN[1] 被描述成 - 客制化的 HTTP Header - 2012 年的 RFC6648 标记成 DEPRECATING (不过现在大家也是很常用) - IANA[2] 列出各种标准的 HTTP header 以及相对的 RFC 编号 (真的很多...) 不过还是有不少浏览器会根据 X- 的 HTTP header 提供额外的功能 像是 - X-XSS-Protection 针对 XSS 做额外的防护 - X-Frame-Options 针对 iFrame 做额外的设定 - XSRF-HEADER 针对 CSP (Cotent Security Policy) 做额外设定 - Referrer-Policy 不过在使用时 强烈建议要考虑各种浏览器、版本之间的支援程度 像是常用的 CSP 设定 不同的参数在不同浏览器都有不一样支援程度 可以参考 MDN[3] 的清单就可以发现 base-uri 虽然在大多数浏览器都支援 但是在 IE 跟 Edge 反而就不支援了 [0]: https://dev.to/shosta/security-headers-to-use-on-your-webserver-3id5 [1]: https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers [2]: https://www.iana.org/assignments/message-headers/message-headers.xhtml [3]: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 106.1.224.240 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1554446332.A.DE3.html