WebSite Security headers
2 min readSep 2, 2020
WebPageTest 前陣子多了一個 Security Score 的指標
因此我來研究一下這幾個 Security Header 。
Strict-Transport-Security:
Strict-Transport-Security 強制要求 client 端發送的 request 要用 https。通常設置為:
Strict-Transport-Security: max-age=31536000; includeSubDomains意思是:在接下來的一年中,瀏覽器通過這個 domain 傳送 http 請求時必須使用 https,如果憑證無效,瀏覽器則會警告繼續存取網站的危險性。
X-Content-Type-Options
X-Content-Type-Options 禁止 client 端進行 MIME sniff,防止 content-type 被竄改。通常設置為:
x-content-type-options: nosniffX-Frame-Options
X-Frame-Options: 讓該網站決定是否能夠被嵌入到 iframe 中。通常設置為:
X-Frame-Options SAMEORIGINContent-Security-Policy
Content-Security-Policy: 避免跨 domain 的存取, CSP 可以設定到非常細,包含 image, script, style-src 存取 domain。通常設置為:
Content-Security-Policy: frame-ancestors 'self' https://*.example.comX-XSS-Protection
X-XSS-Protection: 啟用 XSS 攻擊監測,若監測到 XSS 攻擊瀏覽器停止頁面載入。通常設置為:
X-XSS-Protection: 1;mode=block趕快將你的網站加上這些 header 提升安全性吧。
