在面对德勤等专业渗透测试(Pentest)的场景时,为了确保网站的安全性并顺利通过严格的安全审查,对这些安全头部配置进行精细化和专业化的调整是至关重要的。
以下是对每个选项的详细建议以及设置值的说明:
1. Strict-Transport-Security (HSTS)
这一策略确保所有通信都通过HTTPS进行,并防止降级攻击。
推荐值:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
参数详解:
max-age=31536000:将HSTS的有效期设置为一年(以秒计),确保其长期有效。includeSubDomains:将HSTS策略扩展至所有子域名,减少主域与子域间的安全风险。preload:将域名提交至HSTS预加载列表,以防止首次访问时的降级攻击。需在HSTS Preload List提交域名。
2. Content-Security-Policy (CSP)
通过定义允许加载的内容来源,有效防止跨站脚本(XSS)和数据注入攻击。
推荐值(需根据业务需求定制):
add_header Content-Security-Policy "default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'; form-action 'self';" always;
参数详解:
default-src 'none':默认情况下禁止加载任何外部资源。script-src 'self':仅允许加载本域的脚本。style-src 'self':仅允许加载本域的样式。img-src 'self' data::仅允许加载本域的图片和Base64内嵌图片。font-src 'self':仅允许加载本域的字体。object-src 'none':禁止加载插件内容(如Flash)。frame-ancestors 'none':阻止网站被嵌入iframe中,防止点击劫持攻击。base-uri 'self':限制form-action 'self':只允许表单提交至本站,防止CSRF攻击。
注意:
- CSP策略需与网站的实际需求相匹配,以免影响正常功能。
- 若网站需使用第三方资源(如Google Fonts或CDN),需明确指定来源,例如:
script-src 'self' https://example.com; style-src 'self' https://fonts.googleapis.com;
3. X-Content-Type-Options
防止MIME类型混淆攻击,强制浏览器遵循Content-Type响应头。
推荐值:
add_header X-Content-Type-Options "nosniff" always;
参数详解:
nosniff:禁止浏览器进行内容类型嗅探,防止执行非预期内容(如脚本文件)。
4. X-XSS-Protection
启用浏览器的内置XSS保护机制(某些现代浏览器已默认禁用该功能)。
推荐值:
add_header X-XSS-Protection "1; mode=block" always;
参数详解:
1:启用XSS保护。mode=block:在检测到潜在攻击时,阻止页面加载,而不仅仅是清理恶意内容。
注意:
- 当前浏览器(如Chrome和Edge)不再支持XSS保护头部,建议将CSP作为首选防护方案。
- 若目标用户中仍有使用旧版浏览器的场景,可以启用此头部。
其他安全头部建议(可选):
1. Referrer-Policy
控制浏览器在跳转时发送的引用信息。
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
2. Permissions-Policy(前身为Feature-Policy)
限制浏览器功能(如地理位置、摄像头、麦克风等)的访问权限。
add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;
检查安全头部的生效情况:
- 工具推荐:使用以下工具验证头部配置:
- Security Headers
- [Mozilla Observatory](https://observ
文章整理自互联网,只做测试使用。发布者:Lomu,转转请注明出处:https://www.it1024doc.com/4306.html
