Dowiedz się więcej o nagłówkach, które mogą chronić Twoją witrynę, i szybko wyszukuj najważniejsze informacje.
W tym artykule znajdziesz listę najważniejszych nagłówków zabezpieczeń, których możesz użyć do ochrony swojej witryny. Korzystaj z niej, aby poznać funkcje zabezpieczeń internetowych i dowiedzieć się, jak je wdrożyć w swojej witrynie. Możesz też do niej wracać, gdy będziesz potrzebować przypomnienia.
- Nagłówki zabezpieczeń zalecane w przypadku witryn, które przetwarzają dane wrażliwe użytkowników:
- Content Security Policy (CSP)
- Trusted Types
- Nagłówki zabezpieczeń zalecane w przypadku wszystkich witryn:
- X-Content-Type-Options
- X-Frame-Options
- Cross-Origin Resource Policy (CORP)
- Cross-Origin Opener Policy (COOP)
- HTTP Strict Transport Security (HSTS)
- Nagłówki zabezpieczeń w przypadku witryn o zaawansowanych możliwościach:
- Współdzielenie zasobów pomiędzy serwerami z różnych domen (CORS)
- Zasady osadzania z różnych domen (COEP)
Zanim przejdziesz do nagłówków bezpieczeństwa, dowiedz się więcej o znanych zagrożeniach w internecie i o tym, dlaczego warto używać tych nagłówków.
Ochrona witryny przed lukami w zabezpieczeniach związanymi z wstrzykiwaniem kodu
Luki w zabezpieczeniach związane z wstrzykiwaniem pojawiają się, gdy niezaufane dane przetwarzane przez aplikację mogą wpływać na jej działanie i zwykle prowadzą do uruchomienia skryptów kontrolowanych przez osobę przeprowadzającą atak. Najczęstszą luką w zabezpieczeniach spowodowaną przez błędy wstrzykiwania jest skryptowanie między witrynami (XSS) w różnych formach, w tym odzwierciedlony XSS, przechowywany XSS, XSS oparty na DOM i inne warianty.
Luka w zabezpieczeniach XSS może zwykle zapewnić atakującemu pełny dostęp do danych użytkownika przetwarzanych przez aplikację i wszelkich innych informacji hostowanych w tym samym pochodzeniu internetowym.
Tradycyjne metody ochrony przed atakami typu injection obejmują konsekwentne stosowanie systemów szablonów HTML z automatycznym unikaniem znaków specjalnych, unikanie niebezpiecznych interfejsów JavaScript API oraz prawidłowe przetwarzanie danych użytkowników przez hostowanie przesyłanych plików w osobnej domenie i oczyszczanie kontrolowanego przez użytkownika kodu HTML.
- Używaj standardu Content Security Policy (CSP), aby kontrolować, które skrypty mogą być wykonywane przez aplikację, i zmniejszać ryzyko wstrzyknięć.
- Używaj Trusted Types, aby wymuszać czyszczenie danych przekazywanych do niebezpiecznych interfejsów JavaScript API.
- Użyj X-Content-Type-Options, aby zapobiec błędnej interpretacji przez przeglądarkę typów MIME zasobów witryny, co może prowadzić do wykonania skryptu.
Izolowanie witryny od innych witryn
Otwartość internetu umożliwia witrynom wchodzenie ze sobą w interakcje w sposób, który może naruszać oczekiwania aplikacji dotyczące bezpieczeństwa. Może to obejmować nieoczekiwane wysyłanie uwierzytelnionych żądań lub osadzanie danych z innej aplikacji w dokumencie osoby przeprowadzającej atak, co umożliwia jej modyfikowanie lub odczytywanie danych aplikacji.
Typowe luki w zabezpieczeniach, które podważają izolację witryn, to clickjacking, fałszowanie żądań z innych witryn (CSRF), ataki typu cross-site script inclusion (XSSI) i różne wycieki danych z innych witryn.
- Użyj X-Frame-Options, aby zapobiec osadzaniu dokumentów w złośliwej witrynie.
- Użyj zasad dotyczących zasobów z innych domen (CORP), aby zapobiec włączaniu zasobów Twojej witryny przez witrynę z innej domeny.
- Użyj zasad dotyczących otwierającego z innej domeny (COOP), aby chronić okna witryny przed interakcjami ze złośliwymi witrynami.
- Użyj współdzielenia zasobów pomiędzy serwerami z różnych domen (CORS), aby kontrolować dostęp do zasobów witryny z dokumentów z innych domen.
Jeśli interesują Cię te nagłówki, warto przeczytać artykuł Post-Spectre Web Development.
Bezpieczne tworzenie zaawansowanych witryn
Spectre umieszcza wszystkie wczytane dane w tej samej grupie kontekstu przeglądania, co potencjalnie umożliwia ich odczytanie pomimo zasad dotyczących tego samego pochodzenia. Przeglądarki ograniczają funkcje, które mogą wykorzystywać lukę w zabezpieczeniach w specjalnym środowisku zwanym „izolacją z różnych źródeł”. Dzięki izolacji między źródłami możesz korzystać z zaawansowanych funkcji, takich jak SharedArrayBuffer.
- Używaj zasad umieszczania zasobów z innych domen (COEP) wraz z COOP, aby włączyć izolowanie z innych domen.
Szyfrowanie ruchu w witrynie
Problemy z szyfrowaniem pojawiają się, gdy aplikacja nie szyfruje w pełni danych podczas przesyłania, co umożliwia atakującym podsłuchiwanie interakcji użytkownika z aplikacją.
Niewystarczające szyfrowanie może wystąpić w tych przypadkach: nieużywanie protokołu HTTPS, treści mieszane, ustawianie plików cookie bez atrybutu Secure (lub prefiksu __Secure) albo nieścisła logika weryfikacji CORS.
- Używaj HTTP Strict Transport Security (HSTS), aby konsekwentnie wyświetlać treści za pomocą protokołu HTTPS.
Content Security Policy (CSP)
Cross-site scripting (XSS) to atak, w którym luka w zabezpieczeniach witryny umożliwia wstrzyknięcie i wykonanie złośliwego skryptu.
Content-Security-Policy stanowi dodatkową warstwę zabezpieczeń przed atakami XSS, ponieważ ogranicza skrypty, które mogą być wykonywane na stronie.
Zalecamy włączenie ścisłej zasady CSP za pomocą jednej z tych metod:
- Jeśli renderujesz strony HTML na serwerze, użyj ścisłego CSP opartego na jednorazowym kodzie.
- Jeśli kod HTML musi być dostarczany statycznie lub buforowany, np. w przypadku aplikacji jednostronicowej, użyj ścisłej zasady CSP opartej na haszowaniu.
Przykład użycia: CSP oparty na jednorazowym kodzie
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Zalecane zastosowania
1. Używanie ścisłej strategii CSP opartej na jednorazowym kodzie {: #nonce-based-csp}
Jeśli renderujesz strony HTML na serwerze, użyj ścisłego CSP opartego na jednorazowym kodzie.
Wygeneruj nową wartość nonce skryptu dla każdego żądania po stronie serwera i ustaw ten nagłówek:
plik konfiguracyjny serwera,
Content-Security-Policy: script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
Aby wczytać skrypty w HTML, ustaw atrybut nonce wszystkich tagów <script> na ten sam ciąg znaków {RANDOM1}.
index.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>Zdjęcia Google to dobry przykład ścisłej strategii CSP opartej na jednorazowym kodzie. Użyj Narzędzi deweloperskich, aby sprawdzić, jak jest używany.
2. Używanie rygorystycznej zasady CSP opartej na haszowaniu {: #hash-based-csp}
Jeśli Twój kod HTML musi być wyświetlany statycznie lub buforowany, np. w przypadku tworzenia aplikacji jednostronicowej, użyj ścisłej strategii CSP opartej na haszowaniu.
plik konfiguracyjny serwera,
Content-Security-Policy: script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
W HTML-u musisz wstawić skrypty w kodzie, aby zastosować zasady oparte na haszowaniu, ponieważ większość przeglądarek nie obsługuje haszowania zewnętrznych skryptów.
index.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
Aby wczytać skrypty zewnętrzne, przeczytaj sekcję „Dynamiczne wczytywanie skryptów źródłowych” w części Opcja B. Nagłówek odpowiedzi CSP oparty na haszowaniu.
CSP Evaluator to dobre narzędzie do oceny CSP, a zarazem dobry przykład rygorystycznych CSP opartych na identyfikatorze liczby jednorazowej. Użyj Narzędzi deweloperskich, aby sprawdzić, jak jest używany.
Obsługiwane przeglądarki
Inne informacje o CSP
frame-ancestorsdyrektywa chroni witrynę przed clickjackingiem, czyli zagrożeniem, które pojawia się, gdy zezwalasz niezaufanym witrynom na osadzanie Twojej witryny. Jeśli wolisz prostsze rozwiązanie, możesz użyć elementuX-Frame-Options, aby zablokować ładowanie, aleframe-ancestorszapewnia zaawansowaną konfigurację, która pozwala zezwalać na osadzanie tylko w przypadku określonych domen.- Możesz użyć CSP, aby mieć pewność, że wszystkie zasoby witryny są wczytywane przez HTTPS. To stało się mniej istotne: obecnie większość przeglądarek blokuje treści mieszane.
- Możesz też skonfigurować CSP w trybie tylko do raportowania.
- Jeśli nie możesz ustawić CSP jako nagłówka po stronie serwera, możesz też ustawić go jako metatag. Pamiętaj, że w przypadku metatagów nie możesz używać trybu tylko raportowanie (może się to jednak zmienić).
Więcej informacji
Zaufane typy
Atak XSS oparty na DOM polega na przekazaniu złośliwych danych do miejsca docelowego, które obsługuje dynamiczne wykonywanie kodu, np. eval() lub .innerHTML.
Trusted Types udostępnia narzędzia do pisania, sprawdzania pod kątem bezpieczeństwa i utrzymywania aplikacji wolnych od ataków typu XSS opartych na DOM. Można je włączyć za pomocą CSP. Zapewniają one domyślne bezpieczeństwo kodu JavaScript, ograniczając niebezpieczne interfejsy API do akceptowania tylko specjalnego obiektu – zaufanego typu.
Aby utworzyć te obiekty, możesz zdefiniować zasady bezpieczeństwa, które zapewnią spójne stosowanie reguł bezpieczeństwa (takich jak usuwanie znaków specjalnych lub oczyszczanie) przed zapisaniem danych w DOM. Te zasady są jedynymi miejscami w kodzie, które mogą potencjalnie wprowadzić DOM XSS.
Przykłady użycia
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
Zalecane zastosowania
-
Wymuszanie zaufanych typów w przypadku niebezpiecznych elementów DOM Nagłówek CSP i Trusted Types:
Content-Security-Policy: require-trusted-types-for 'script'Obecnie jedyną akceptowaną wartością dyrektywy
require-trusted-types-forjest'script'.Oczywiście możesz łączyć zaufane typy z innymi dyrektywami CSP:
Łączenie powyższej strategii CSP opartej na jednorazowym kodzie z dyrektywą Trusted Types:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>Uwaga: </b> możesz ograniczyć dozwolone nazwy zasad zaufanych typów, ustawiając dodatkową dyrektywę <code>trusted-types</code> (np. <code>trusted-types myPolicy</code>). Nie jest to jednak wymagane. </aside>
-
Definiowanie zasady
Zasady:
// Feature detection if (window.trustedTypes && trustedTypes.createPolicy) { // Name and create a policy const policy = trustedTypes.createPolicy('escapePolicy', { createHTML: str => { return str.replace(/\/g, '>'); } }); }
-
Stosowanie zasad
Używaj zasady podczas zapisywania danych w DOM:
// Assignment of raw strings are blocked by Trusted Types. el.innerHTML = 'some string'; // This throws an exception.</p> <p>// Assignment of Trusted Types is accepted safely. const escaped = policy.createHTML('<img src="x" onerror="alert(1)">'); el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
W przypadku
require-trusted-types-for 'script'używanie zaufanego typu jest wymagane. Użycie dowolnego niebezpiecznego interfejsu DOM API z ciągiem znaków spowoduje błąd.
Obsługiwane przeglądarki
Więcej informacji
- Zapobieganie lukom w zabezpieczeniach typu cross-site scripting opartym na DOM przy użyciu dyrektywy Trusted Types
- CSP: require-trusted-types-for - HTTP | MDN
- CSP: trusted-types - HTTP | MDN
- Wersja demonstracyjna Trusted Types – otwórz inspektora Narzędzi deweloperskich i zobacz, co się dzieje.
X-Content-Type-Options
Gdy z Twojej domeny zostanie wyświetlony złośliwy dokument HTML (np. jeśli obraz przesłany do usługi zdjęć zawiera prawidłowy znacznik HTML), niektóre przeglądarki potraktują go jako aktywny dokument i pozwolą mu wykonywać skrypty w kontekście aplikacji, co doprowadzi do błędu związanego z cross-site scriptingiem.
X-Content-Type-Options: nosniff zapobiega temu, informując przeglądarkę, że typ MIME ustawiony w nagłówku Content-Type dla danej odpowiedzi jest prawidłowy. Ten nagłówek jest zalecany w przypadku wszystkich zasobów.
Przykładowe użycie
X-Content-Type-Options: nosniff
Zalecane zastosowania
X-Content-Type-Options: nosniff jest zalecany w przypadku wszystkich zasobów wyświetlanych z serwera wraz z prawidłowym nagłówkiem Content-Type.
Przykładowe nagłówki wysłane z dokumentem HTML
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
Obsługiwane przeglądarki
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
Więcej informacji
X-Frame-Options
Jeśli złośliwa witryna może osadzić Twoją witrynę jako ramkę iframe, może to umożliwić atakującym wywoływanie niezamierzonych działań użytkownika za pomocą clickjackingu. W niektórych przypadkach ataki typu Spectre dają złośliwym witrynom możliwość poznania zawartości umieszczonego dokumentu.
X-Frame-Options określa, czy przeglądarka powinna mieć możliwość renderowania strony w <frame>, <iframe>, <embed> lub <object>. Wszystkie dokumenty powinny wysyłać ten nagłówek, aby wskazać, czy zezwalają na osadzanie w innych dokumentach.
Przykładowe użycie
X-Frame-Options: DENY
Zalecane zastosowania
Wszystkie dokumenty, które nie są przeznaczone do umieszczania, powinny używać nagłówka X-Frame-Options.
Możesz sprawdzić, jak te konfiguracje wpływają na wczytywanie elementu iframe w tym
demo. Zmień menu X-Frame-Options
i kliknij przycisk Odśwież element iframe.
Ochrona witryny przed osadzaniem w innych witrynach
Odmów osadzania w innych dokumentach.
X-Frame-Options: DENYChroni witrynę przed osadzaniem przez inne witryny
Zezwalaj na umieszczanie tylko w dokumentach z tej samej domeny.
X-Frame-Options: SAMEORIGINObsługiwane przeglądarki
Więcej informacji
Zasady dotyczące zasobów z innych domen (CORP)
Osoba atakująca może umieścić zasoby z innego źródła, np. z Twojej witryny, aby uzyskać o nich informacje, wykorzystując wycieki danych z innych witryn.
Cross-Origin-Resource-Policy zmniejsza to ryzyko, wskazując zestaw witryn, w których może być wczytywany. Nagłówek przyjmuje jedną z 3 wartości: same-origin, same-site i cross-origin. Wszystkie zasoby powinny wysyłać ten nagłówek, aby wskazać, czy zezwalają na wczytywanie przez inne witryny.
Przykładowe użycie
Cross-Origin-Resource-Policy: same-origin
Zalecane zastosowania
Zalecamy, aby wszystkie zasoby były wyświetlane z użyciem jednego z tych 3 nagłówków.
Możesz sprawdzić, jak te konfiguracje wpływają na wczytywanie zasobów w środowisku Cross-Origin-Embedder-Policy: require-corp na tej wersji demonstracyjnej. Zmień menu Cross-Origin-Resource-Policy i kliknij przycisk Ponownie załaduj element iframe lub Ponownie załaduj obraz, aby zobaczyć efekt.
Zezwalaj na ładowanie zasobów cross-origin
Zalecamy, aby usługi podobne do CDN stosowały atrybut cross-origin do zasobów (ponieważ są one zwykle wczytywane przez strony z innych domen), chyba że są już dostarczane za pomocą CORS, co ma podobny efekt.
Cross-Origin-Resource-Policy: cross-originOgranicz zasoby do załadowania z same-origin
Atrybut same-origin należy stosować do zasobów, które mają być wczytywane tylko przez strony z tej samej domeny. Należy stosować to ustawienie w przypadku zasobów, które zawierają informacje wrażliwe o użytkowniku, lub odpowiedzi interfejsu API, który ma być wywoływany tylko z tego samego źródła.
Pamiętaj, że zasoby z tym nagłówkiem nadal można wczytywać bezpośrednio, np. otwierając adres URL w nowym oknie przeglądarki. Zasady dotyczące zasobów z innych domen chronią tylko przed osadzaniem zasobów w innych witrynach.
Cross-Origin-Resource-Policy: same-originOgranicz zasoby do załadowania z same-site
same-site zaleca się stosować w przypadku zasobów podobnych do powyższych, ale przeznaczonych do wczytywania przez inne subdomeny witryny.
Cross-Origin-Resource-Policy: same-siteObsługiwane przeglądarki
Więcej informacji
Zasady dotyczące otwierającego z innej domeny (COOP)
Witryna osoby przeprowadzającej atak może otworzyć inną witrynę w wyskakującym okienku, aby uzyskać informacje na jej temat, wykorzystując internetowe wycieki danych z innych witryn. W niektórych przypadkach może to również umożliwić wykorzystanie ataków na kanały boczne opartych na Spectre.
Nagłówek Cross-Origin-Opener-Policy umożliwia dokumentowi odizolowanie się od okien z innych domen otwieranych za pomocą window.open() lub linku z atrybutem target="_blank" bez atrybutu rel="noopener". W rezultacie otwierające dokument okno z innej domeny nie będzie miało do niego odwołania i nie będzie mogło z nim wchodzić w interakcje.
Przykładowe użycie
Cross-Origin-Opener-Policy: same-origin-allow-popups
Zalecane zastosowania
Możesz sprawdzić, jak te konfiguracje wpływają na komunikację z wyskakującym okienkiem z innej domeny, korzystając z tej wersji demonstracyjnej. Zmień ustawienie w menu Cross-Origin-Opener-Policy zarówno w przypadku dokumentu, jak i wyskakującego okienka. Kliknij przycisk Otwórz wyskakujące okienko, a potem Wyślij postMessage, aby sprawdzić, czy wiadomość została dostarczona.
Izolowanie dokumentu od okien z innych domen
Ustawienie same-origin powoduje, że dokument jest izolowany od okien dokumentów z innych domen.
Cross-Origin-Opener-Policy: same-originIzolowanie dokumentu od okien z innej domeny, ale zezwalanie na wyskakujące okienka
Ustawienie same-origin-allow-popups pozwala dokumentowi zachować odniesienie do wyskakujących okienek, chyba że ustawiono COOP z wartością same-origin lub same-origin-allow-popups. Oznacza to, że same-origin-allow-popups nadal może chronić dokument przed odwoływaniem się do niego, gdy jest otwierany w wyskakującym okienku, ale zezwalać na komunikację z własnymi wyskakującymi okienkami.
Cross-Origin-Opener-Policy: same-origin-allow-popupsZezwalaj na odwoływanie się do dokumentu przez okna z innych domen
unsafe-none to wartość domyślna, ale możesz wyraźnie wskazać, że ten dokument może być otwierany przez okno z innej domeny i zachowywać wzajemny dostęp.
Cross-Origin-Opener-Policy: unsafe-noneZgłaszanie wzorców niezgodnych z COOP
Możesz otrzymywać raporty, gdy COOP uniemożliwia interakcje między oknami z interfejsem API do raportowania.
Cross-Origin-Opener-Policy: same-origin; report-to="coop"COOP obsługuje też tryb tylko do raportowania, dzięki czemu możesz otrzymywać raporty bez blokowania komunikacji między dokumentami z różnych domen.
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"Obsługiwane przeglądarki
Więcej informacji
Współdzielenie zasobów pomiędzy serwerami z różnych domen (CORS)
W przeciwieństwie do innych elementów w tym artykule mechanizm CORS (Cross-Origin Resource Sharing) nie jest nagłówkiem, ale mechanizmem przeglądarki, który żąda dostępu do zasobów z innych domen i na niego zezwala.
Domyślnie przeglądarki egzekwują zasadę tego samego pochodzenia, aby uniemożliwić stronie internetowej dostęp do zasobów z innej domeny. Na przykład gdy załadowany jest obraz z innej domeny, mimo że jest on wyświetlany na stronie internetowej, JavaScript na tej stronie nie ma dostępu do danych obrazu. Dostawca zasobu może złagodzić ograniczenia i umożliwić innym witrynom odczytywanie zasobu, akceptując CORS.
Przykładowe użycie
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
Zanim dowiesz się, jak skonfigurować CORS, warto poznać różnicę między typami żądań. W zależności od szczegółów żądania zostanie ono zaklasyfikowane jako proste żądanie lub żądanie wstępne.
Kryteria prostego żądania:
- Metoda to
GET,HEADlubPOST. - Niestandardowe nagłówki obejmują tylko
Accept,Accept-Language,Content-LanguageiContent-Type. - Wartość
Content-Typetoapplication/x-www-form-urlencoded,multipart/form-datalubtext/plain.
Wszystkie pozostałe żądania są klasyfikowane jako żądania wstępne. Więcej informacji znajdziesz w artykule Współdzielenie zasobów pomiędzy serwerami z różnych domen (CORS) – HTTP | MDN.
Zalecane zastosowania
Proste żądanie
Gdy żądanie spełnia kryteria prostego żądania, przeglądarka wysyła żądanie z innej domeny z nagłówkiem Origin, który wskazuje origin żądania.
Przykładowy nagłówek żądania
Get / HTTP/1.1 Origin: https://example.com
Przykładowy nagłówek odpowiedzi
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://example.comoznacza, żehttps://example.comma dostęp do zawartości odpowiedzi. Zasoby, które mają być czytelne dla dowolnej witryny, mogą ustawić ten nagłówek na wartość*. W takim przypadku przeglądarka będzie wymagać, aby żądanie było wysyłane bez danych logowania.- Symbol
Access-Control-Allow-Credentials: trueoznacza, że żądania zawierające dane logowania (pliki cookie) mogą wczytywać zasób. W przeciwnym razie uwierzytelnione żądania będą odrzucane, nawet jeśli źródło żądania jest obecne w nagłówkuAccess-Control-Allow-Origin.
Możesz sprawdzić, jak proste żądanie wpływa na wczytywanie zasobów w Cross-Origin-Embedder-Policy: require-corpśrodowisku na tej wersji demonstracyjnej. Zaznacz pole wyboru mechanizm CORS i kliknij przycisk Reload the image (Ponownie załaduj obraz), aby zobaczyć efekt.
Żądania wstępne
Żądanie wstępne jest poprzedzone żądaniem OPTIONS, które sprawdza, czy można wysłać kolejne żądanie.
Przykładowy nagłówek żądania
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
Access-Control-Request-Method: POSTumożliwia wysłanie tego żądania za pomocą metodyPOST.Access-Control-Request-Headers: X-PINGOTHER, Content-Typeumożliwia osobie wysyłającej żądanie ustawienie nagłówków HTTPX-PINGOTHERiContent-Typew kolejnym żądaniu.
Przykładowe nagłówki odpowiedzi
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
Access-Control-Allow-Methods: POST, GET, OPTIONSoznacza, że kolejne żądania można wysyłać za pomocą metodPOST,GETiOPTIONS.Access-Control-Allow-Headers: X-PINGOTHER, Content-Typeoznacza, że kolejne żądania mogą zawierać nagłówkiX-PINGOTHERiContent-Type.Access-Control-Max-Age: 86400oznacza, że wynik żądania wstępnego może być przechowywany w pamięci podręcznej przez 86 400 sekund.
Obsługiwane przeglądarki
Więcej informacji
Zasady umieszczania zasobów z innych domen (COEP)
Aby ograniczyć możliwość ataków opartych na Spectre w celu kradzieży zasobów z innych domen, funkcje takie jak SharedArrayBuffer czy performance.measureUserAgentSpecificMemory() są domyślnie wyłączone.
Cross-Origin-Embedder-Policy: require-corp uniemożliwia dokumentom i procesom wczytywanie zasobów z innej domeny, takich jak obrazy, skrypty, arkusze stylów, elementy iframe i inne, chyba że te zasoby wyraźnie zezwalają na wczytywanie za pomocą nagłówków CORS lub CORP. COEP można połączyć zCross-Origin-Opener-Policy
aby włączyć w dokumencie izolację z innych domen.
Użyj Cross-Origin-Embedder-Policy: require-corp, jeśli chcesz włączyć izolację od zasobów z innych domen w dokumencie.
Przykładowe użycie
Cross-Origin-Embedder-Policy: require-corp
Przykłady użycia
COEP przyjmuje jedną wartość require-corp. Wysyłając ten nagłówek, możesz poinstruować przeglądarkę, aby blokowała wczytywanie zasobów, które nie zostały zaakceptowane za pomocą CORS lub CORP.
Możesz sprawdzić, jak te konfiguracje wpływają na wczytywanie zasobów, korzystając z tej wersji demonstracyjnej. Zmień menu Cross-Origin-Embedder-Policy, menu Cross-Origin-Resource-Policy, pole wyboru Report Only itp., aby zobaczyć, jak wpływają one na wczytywanie zasobów. Otwórz też demo punktu końcowego raportowania, aby sprawdzić, czy zablokowane zasoby są zgłaszane.
Włącz izolację między domenami
Włącz izolację zasobów z różnych domen, wysyłając Cross-Origin-Embedder-Policy: require-corp wraz z Cross-Origin-Opener-Policy: same-origin.
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
Zgłaszanie zasobów niezgodnych z COEP
Za pomocą interfejsu Reporting API możesz otrzymywać raporty o zablokowanych zasobach z powodu COEP.
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"COEP obsługuje też tryb tylko do raportowania, dzięki czemu możesz otrzymywać raporty bez blokowania ładowania zasobów.
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"Obsługiwane przeglądarki
Więcej informacji
HTTP Strict Transport Security (HSTS)
Komunikacja za pomocą zwykłego połączenia HTTP nie jest szyfrowana, co sprawia, że przesyłane dane są dostępne dla osób podsłuchujących na poziomie sieci.
Nagłówek Strict-Transport-Security informuje przeglądarkę, że nigdy nie powinna wczytywać witryny za pomocą protokołu HTTP, tylko HTTPS. Po ustawieniu tego nagłówka przeglądarka będzie używać protokołu HTTPS zamiast HTTP, aby uzyskać dostęp do domeny bez przekierowania przez czas określony w nagłówku.
Przykładowe użycie
Strict-Transport-Security: max-age=31536000
Zalecane zastosowania
Wszystkie witryny, które przechodzą z HTTP na HTTPS, powinny odpowiadać nagłówkiem Strict-Transport-Security, gdy otrzymają żądanie HTTP.
Strict-Transport-Security: max-age=31536000Obsługiwane przeglądarki