一.所有安全策略都应该建立在https协议上,如果不是https则安全无从谈起。
二.Content-Security-Policy(CSP)
- 保证页面能够接收的内容,配置可信的域名或源在其中;
- 内容安全策略,可以减少和报告XSS攻击;
- 阻止插件行为;
三.XSS攻击
- xss攻击:存储型,反射型,dom based;
- x-xss-Protection: 阻止反射性攻击
X-XSS-Protection: 0 X-XSS-Protection: 1 //默认值 X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri> 0 禁止XSS过滤。 1 启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。 1;mode=block 启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。 1; report=<reporting-URI> (Chromium only)启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。
四.csrf攻击
1.跨站请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求。可以使用token防 范;
