###### tags: `資訊安全`,`2022` {%hackmd BJrTq20hE %} # 資訊安全 Response Header 設定 可以防止 Clickjacking、MIME sniffing和 XSS 攻擊: * Clickjacking : 攔截點擊事件，駭客可能會使用iframe嵌入網站，把原本按鈕的點擊事件改成其他功能，例如點下去讓你買東西、按讚。 * MIME sniffing(Multipurpose Internet Mail Extensions) : 駭客寫了具有惡意程式script的html檔案，並把附檔名改成圖片上傳，而瀏覽器會自動判定他是假圖片，並自動改成HTML方式的呈現方式，這時候檔案裡的攻擊程式就生效了 ## X-Frame-Options * DENY * SAMEORIGIN * ALLOW-FROM https://xxx.com/ ## X-XSS-Protection 讓瀏覽器預設的XSS防護生效 `X-Xss-Protection: 1; mode=block` ## X-Content-Type-Options 設定X-Content-Type-Options:nosniff 避免 MIME sniffing 攻擊 `X-Content-Type-Options: nosniff` ## Access-Control-Allow-Origin 有時候需要允許跨 Origin 資源的存取。就要設定 Access-Control-Allow-Origin * Access-Control-Allow-Origin: 允許的網站 * Access-Control-Allow-Credentials: 是否能帶coockie * Access-Control-Allow-Methods: 允許的http verb ``` Access-Control-Allow-Origin：https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: GET ``` ## HTTPS Strict Transport Security 網站禁止使用 HTTP 方式載入，只能用 HTTPS 傳輸。 可以指定一個時間區間，在這個時間區間內，你的網站所有使用 HTTP 的請求，全部都會被替換成 HTTPS 請求。 ``` Strict-Transport-Security: max-age=31536000; includeSubDomains ``` ## 保護 Cookie 的設定 Header上可以針對Cooke的安全設定 ``` Set-Cookie: myCookie=hello; Path=/hello ; domain=test.com; secure; expires = EXPIRES; HttpOnly; samesite=strict; ``` ### HttpONnly 防止 Cookie 在客戶端的 JavaScript 程式碼存取。 ### Secure Cookie 只能在使用 HTTPS 的情況下被傳輸，增加安全性。 ### Expires 降低 Session Id 外洩的風險 ### SameSite 避免 CSRF 攻擊，盜用 Cookie ### Content Security Policy 只能允許設定的網站來存取你的網站，可以一次設定多個來源，用空白區隔。 1.語法: Content-Security-Policy: <規範> <來源> <來源>; 2.範例: Content-Security-Policy: script-src https://*.example.com https://aa.com; 3.來源的關鍵字: * 'none' ：禁止任何的來源 * 'self'：只允許同源的來源 (scheme, domain, port 相同) * 'nonce-隨機碼':只允許有隨機碼的區塊 4.常用規範 (Policy) * img-src：設定允許的圖片網址來源 * media-src：設定允許的<audio> 和<video>使用的網址 * style-src：設定允許的樣式來源 * script-src：設定允許的JavaScript來源 * frame-ancestors ：設定頁面允許被哪些網址嵌入 * frame-src ：設定頁面允許哪些網址內容的嵌入 * form-action ：設定表單允許跟哪些網路服務互動 * upgrade-insecure-requests ：設定強制使用https * report-uri ：使用report模式，將資料回傳到某個網址 ``` Content-Security-Policy: default-src 'self'; image-src 'self' https: data:; report-uri https:example.com/error -- nonce 範例 Content-Security-Policy: script-src 'self' 'nonce-F2B0581E'; <script nonce="F2B0581E"> var i = 1;</script> ``` ##### Reference Hahow 經典駭客攻擊教程