2019-M01 - Security Header
在之前的经验中
有不少研究、开发人员对于网页服务中的一些安全性设定不是很了解
在这篇[0] 文章中有帮忙整理了一些 对于网页服务需要设定的 header
X- 系列的 HTTP Header 在 MDN[1] 被描述成
- 客制化的 HTTP Header
- 2012 年的 RFC6648 标记成 DEPRECATING (不过现在大家也是很常用)
- IANA[2] 列出各种标准的 HTTP header 以及相对的 RFC 编号 (真的很多...)
不过还是有不少浏览器会根据 X- 的 HTTP header 提供额外的功能 像是
- X-XSS-Protection 针对 XSS 做额外的防护
- X-Frame-Options 针对 iFrame 做额外的设定
- XSRF-HEADER 针对 CSP (Cotent Security Policy) 做额外设定
- Referrer-Policy
不过在使用时 强烈建议要考虑各种浏览器、版本之间的支援程度
像是常用的 CSP 设定 不同的参数在不同浏览器都有不一样支援程度
可以参考 MDN[3] 的清单就可以发现 base-uri 虽然在大多数浏览器都支援
但是在 IE 跟 Edge 反而就不支援了
[0]: https://dev.to/shosta/security-headers-to-use-on-your-webserver-3id5
[1]: https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers
[2]: https://www.iana.org/assignments/message-headers/message-headers.xhtml
[3]: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP