# httpheader ver.1 ## x-xss-protection cookies Content-Security-Policy (http header ver1) --- ## 研究目的 針對xss的攻擊，需要設定什麼header --- ## 研究方法 透過flask架設網站測試設定header的效果 --- ## demo --- ## 實作檢查module 抓取架設網站的封包來判斷是否設定那些防範header --- ## demo --- ## 下次進度 針對更種網站所需的Content-Security-Policy設定研究 ，並針對研究過的header進型模組開發，以及其他安全性httpheader設定 --- ## 未來展望 參考CWE以及別人寫好的工具，進行開發與結果比對 https://cwe.mitre.org/data/definitions/1004.html https://github.com/gildasio/h2t --- ## 參考資料 #### http header 有關安全設定 https://yu-jack.github.io/2017/10/20/secure-header/#x-content-type-options #### XSS跨站腳本攻擊 https://hitcon.org/2017/CMT/slide-files/d2_s3_r4.pdf --- ## 工具參考 #### github https://github.com/gildasio/h2t(有code) https://github.com/koenbuyens/securityheaders https://github.com/search?o=desc&p=2&q=http+security+header&s=stars&type=Repositories #### 網站版 https://securityheaders.com/?q=https%3A%2F%2Fmedium.com%2F%40charming_rust_oyster_221%2Fflask-%25E9%2585%258D%25E7%25BD%25AE-https-%25E7%25B6%25B2%25E7%25AB%2599-ssl-%25E5%25AE%2589%25E5%2585%25A8%25E8%25AA%258D%25E8%25AD%2589-36dfeb609fa8&followRedirects=on --- ## Flask #### Flask實作那些安全功能 https://www.twblogs.net/a/5c0aa4b2bd9eee6fb37bd8c2 #### Flask set http header https://dormousehole.readthedocs.io/en/stable/security.html --- ## CSP #### CSP header文件 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy #### CSP 介紹 https://hackmd.io/@Eotones/BkOX6u5kX https://www.kutu66.com/GitHub/article_131976 #### Google提供的CSP檢測工具 https://csp-evaluator.withgoogle.com/ ---