進一步瞭解可確保網站安全性的標頭,以及如何快速查閱最重要的詳細資料。
本文列出最重要的安全標頭,可用於保護網站。您可以藉此瞭解網頁安全功能、如何在網站上實作這些功能,以及在需要提醒時做為參考。
- 如果網站會處理機密使用者資料,建議採用下列安全性標頭:
- 內容安全政策 (CSP)
- 信任類型
- 建議所有網站使用的安全性標頭:
- X-Content-Type-Options
- X-Frame-Options
- 跨源資源政策 (CORP)
- 跨源開啟器政策 (COOP)
- HTTP 嚴格傳輸安全性 (HSTS)
- 具備進階功能的網站安全標頭:
- 跨源資源共享 (CORS)
- 跨源嵌入器政策 (COEP)
深入瞭解安全標頭前,請先瞭解網路上的已知威脅,以及使用這些安全標頭的原因。
保護網站免於注入式安全漏洞
當應用程式處理的不受信任資料會影響其行為,且通常會導致執行攻擊者控制的指令碼時,就會發生注入安全漏洞。注入式錯誤最常導致的漏洞是跨網站指令碼攻擊 (XSS),包括反映型 XSS、儲存型 XSS、DOM 型 XSS 和其他變體。
XSS 安全漏洞通常會讓攻擊者完全存取應用程式處理的使用者資料,以及同一網頁來源中託管的任何其他資訊。
傳統的防範注入攻擊措施包括:持續使用自動逸出 HTML 範本系統、避免使用危險的 JavaScript API,以及在獨立網域中代管檔案上傳作業,並清除使用者控制的 HTML,以正確處理使用者資料。
- 使用內容安全政策 (CSP) 控制應用程式可執行的指令碼,降低注入風險。
- 使用可信類型,強制清除傳遞至危險 JavaScript API 的資料。
- 使用 X-Content-Type-Options 可防止瀏覽器誤解網站資源的 MIME 類型,進而導致指令碼執行。
將網站與其他網站隔離
網頁的開放性允許網站以違反應用程式安全期望的方式互動。包括意外發出已驗證的要求,或將其他應用程式的資料嵌入攻擊者的文件中,讓攻擊者修改或讀取應用程式資料。
常見的網頁隔離機制破壞性安全漏洞包括點擊劫持、跨網站偽造要求 (CSRF)、跨網站指令碼置入 (XSSI) 和各種跨網站洩漏。
- 使用 X-Frame-Options,防止惡意網站嵌入文件。
- 使用跨源資源政策 (CORP),防止跨源網站納入您網站的資源。
- 使用跨來源開啟者政策 (COOP),保護網站視窗免於惡意網站的互動。
- 使用跨源資源共享 (CORS) 控制跨源文件對網站資源的存取權。
如果您對這些標頭感興趣,建議閱讀Post-Spectre Web Development。
安全地建構強大的網站
Spectre 會將載入相同瀏覽環境群組的任何資料,都視為可能可讀取,即使符合同源政策也一樣。瀏覽器會限制可能利用「跨來源隔離」特殊環境背後安全漏洞的功能。透過跨來源隔離,您可以使用 SharedArrayBuffer 等強大功能。
- 使用跨來源嵌入程式政策 (COEP) 和 COOP 啟用跨來源隔離。
加密網站流量
如果應用程式未完整加密傳輸中的資料,竊聽攻擊者就能瞭解使用者與應用程式的互動,這時就會出現加密問題。
加密不足可能發生在下列情況:未使用 HTTPS、複合型內容、設定 Cookie 時未加入 Secure 屬性 (或 __Secure 前置字元),或是 寬鬆的 CORS 驗證邏輯。
- 使用 HTTP 嚴格傳輸安全性 (HSTS),透過 HTTPS 持續提供內容。
內容安全政策 (CSP)
跨網站指令碼攻擊 (XSS) 是一種攻擊,會利用網站安全漏洞注入並執行惡意指令碼。
Content-Security-Policy 可限制網頁可執行的指令碼,進一步防範跨網站指令碼攻擊。
建議您使用下列其中一種方法啟用嚴格 CSP:
- 如果您在伺服器上算繪 HTML 網頁,請使用以 Nonce 為基礎的嚴格 CSP。
- 如果 HTML 必須以靜態方式提供或快取 (例如單頁應用程式),請使用以雜湊為基礎的嚴格 CSP。
使用範例:以隨機數為基礎的 CSP
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
建議用途
1. 使用以 Nonce 為基礎的嚴格 CSP {: #nonce-based-csp}
如果您在伺服器上算繪 HTML 網頁,請使用以 Nonce 為基礎的嚴格 CSP。
在伺服器端為每個要求產生新的指令碼 Nonce 值,並設定下列標頭:
伺服器設定檔
Content-Security-Policy: script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
在 HTML 中,如要載入指令碼,請將所有 <script> 標記的 nonce 屬性設為相同的 {RANDOM1} 字串。
index.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>Google 相簿就是以 Nonce 為基礎的嚴格 CSP 範例。使用開發人員工具查看使用方式。
2. 使用以雜湊為準的嚴格 CSP {: #hash-based-csp}
如果 HTML 必須以靜態方式提供或快取,例如您要建構單頁應用程式,請使用以雜湊為基礎的嚴格 CSP。
伺服器設定檔
Content-Security-Policy: script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
在 HTML 中,您必須內嵌指令碼,才能套用以雜湊為準的政策,因為大多數瀏覽器都不支援雜湊外部指令碼。
index.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
如要載入外部指令碼,請參閱「選項 B:以雜湊為準的 CSP 回應標頭」一節中的「動態載入來源指令碼」。
CSP 評估工具是評估 CSP 的好工具,同時也是以 Nonce 為基礎的嚴格 CSP 範例。使用開發人員工具查看使用方式。
支援的瀏覽器
CSP 的其他注意事項
frame-ancestors指令可保護您的網站免於點擊劫持攻擊,如果您允許不受信任的網站嵌入您的網站,就會有這類風險。如果偏好較簡單的解決方案,可以使用X-Frame-Options封鎖載入,但frame-ancestors提供進階設定,只允許特定來源做為嵌入者。- 您可能已使用 CSP,確保所有網站資源都透過 HTTPS 載入。這項做法已不適用:現在大多數瀏覽器都會封鎖混合內容。
- 您也可以在僅供回報模式中設定 CSP。
- 如果無法在伺服器端將 CSP 設為標頭,也可以將其設為中繼標記。請注意,您無法對中繼標記使用僅回報模式 (但這項限制可能會變更)。
瞭解詳情
Trusted Types
以 DOM 為基礎的 XSS 攻擊是指將惡意資料傳遞至支援動態程式碼執行的接收器,例如 eval() 或 .innerHTML。
Trusted Types 提供相關工具,協助您編寫、安全審查及維護應用程式,避免發生 DOM XSS 攻擊。可透過 CSP 啟用,並限制危險的 Web API 只接受特殊物件 (即「信任型別」),預設確保 JavaScript 程式碼安全無虞。
如要建立這些物件,您可以定義安全性政策,確保在資料寫入 DOM 前,系統會持續套用安全性規則 (例如逸出或清除)。這些政策隨後會成為程式碼中唯一可能導入 DOM XSS 的位置。
使用範例
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
建議用途
-
針對危險的 DOM 接收器強制執行 Trusted Types CSP 和 Trusted Types 標頭:
Content-Security-Policy: require-trusted-types-for 'script'目前
'script'是require-trusted-types-for指令唯一可接受的值。當然,您可以將 Trusted Types 與其他 CSP 指令合併:
將上述以 Nonce 為基礎的 CSP 與 Trusted Types 合併:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>注意:</b>您可以設定額外的 <code>trusted-types</code> 指令 (例如 <code>trusted-types myPolicy</code>),限制允許的「信任型別」政策名稱。不過,這並非必要步驟。</aside>
-
定義政策
政策:
// Feature detection if (window.trustedTypes && trustedTypes.createPolicy) { // Name and create a policy const policy = trustedTypes.createPolicy('escapePolicy', { createHTML: str => { return str.replace(/\/g, '>'); } }); }
-
套用政策
在將資料寫入 DOM 時使用政策:
// Assignment of raw strings are blocked by Trusted Types. el.innerHTML = 'some string'; // This throws an exception.</p> <p>// Assignment of Trusted Types is accepted safely. const escaped = policy.createHTML('<img src="x" onerror="alert(1)">'); el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
使用
require-trusted-types-for 'script'時,必須使用信任的型別。使用字串搭配任何危險的 DOM API 都會導致錯誤。
支援的瀏覽器
瞭解詳情
X-Content-Type-Options
如果從您的網域提供惡意 HTML 文件 (例如上傳至相片服務的圖片含有有效的 HTML 標記),部分瀏覽器會將其視為有效文件,並允許在應用程式環境中執行指令碼,導致跨網站指令碼攻擊。
X-Content-Type-Options: nosniff 會指示瀏覽器,特定回應的 Content-Type 標頭中設定的 MIME 類型正確無誤,藉此防止發生這類情況。建議所有資源都使用這個標頭。
使用範例
X-Content-Type-Options: nosniff
建議用途
建議您為伺服器提供的所有資源,一併使用 X-Content-Type-Options: nosniff 和正確的 Content-Type 標頭。
隨文件 HTML 傳送的標頭範例
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
支援的瀏覽器
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
瞭解詳情
X-Frame-Options
如果惡意網站能將您的網站嵌入為 iframe,攻擊者就可能透過點擊劫持,讓使用者執行非預期的動作。此外,在某些情況下,惡意網站可能會利用 Spectre 類型的攻擊,瞭解嵌入文件的內容。
X-Frame-Options 表示瀏覽器是否可在 <frame>、<iframe>、<embed> 或 <object> 中顯示頁面。建議所有文件都傳送這個標頭,指出是否允許其他文件嵌入。
使用範例
X-Frame-Options: DENY
建議用途
所有不適合嵌入的文件都應使用 X-Frame-Options 標頭。
您可以在這個示範中,試試下列設定對載入 iframe 的影響。變更 X-Frame-Options 下拉式選單,然後按一下「重新載入 iframe」按鈕。
防止其他網站嵌入您的網站
禁止任何其他文件嵌入。
X-Frame-Options: DENY防止任何跨來源網站嵌入您的網站
只允許同源文件嵌入。
X-Frame-Options: SAMEORIGIN支援的瀏覽器
瞭解詳情
跨來源資源政策 (CORP)
攻擊者可以嵌入來自其他來源的資源 (例如來自您的網站),藉由利用網頁型跨網站洩漏來瞭解這些資源的相關資訊。
Cross-Origin-Resource-Policy 會指出可載入的網站組合,藉此降低這項風險。標頭會採用下列其中一個值:same-origin、same-site 和 cross-origin。建議所有資源都傳送這個標頭,指出是否允許其他網站載入。
使用範例
Cross-Origin-Resource-Policy: same-origin
建議用途
建議所有資源都使用下列其中一個標頭放送。
您可以嘗試下列設定,瞭解這些設定對 Cross-Origin-Embedder-Policy: require-corp 環境下資源載入的影響,請參閱這個示範。變更「Cross-Origin-Resource-Policy」下拉式選單,然後按一下「Reload the iframe」(重新載入 iframe) 或「Reload the image」(重新載入圖片) 按鈕,即可查看效果。
允許載入資源 cross-origin
建議 CDN 類型的服務對資源套用 cross-origin (因為這些資源通常是由跨來源網頁載入),除非這些資源已透過 CORS 提供服務,因為這會產生類似效果。
Cross-Origin-Resource-Policy: cross-origin限制從 same-origin 載入的資源
same-origin 應套用至僅供同源網頁載入的資源。如果資源包含使用者的私密資訊,或是 API 回應僅供同源呼叫,就應套用這項設定。
請注意,含有這個標頭的資源仍可直接載入,例如在新瀏覽器視窗中前往該網址。跨源資源政策只會保護資源,避免遭到其他網站嵌入。
Cross-Origin-Resource-Policy: same-origin限制從 same-site 載入的資源
建議對與上述類似的資源套用 same-site,但這些資源會由網站的其他子網域載入。
Cross-Origin-Resource-Policy: same-site支援的瀏覽器
瞭解詳情
跨來源開啟者政策 (COOP)
攻擊者的網站可以在彈出式視窗中開啟其他網站,並利用網頁式跨網站洩漏漏洞,瞭解該網站的資訊。在某些情況下,這也可能導致基於 Spectre 的側通道攻擊遭到利用。
Cross-Origin-Opener-Policy 標頭可讓文件與透過 window.open() 或含有 target="_blank" 的連結開啟的跨來源視窗隔離,不必使用 rel="noopener"。因此,文件的任何跨來源開啟器都不會參照該文件,也無法與其互動。
使用範例
Cross-Origin-Opener-Policy: same-origin-allow-popups
建議用途
您可以在這個範例中,試試下列設定對跨來源彈出式視窗通訊的影響。 變更文件和彈出式視窗的「Cross-Origin-Opener-Policy」下拉式選單,然後按一下「Open a popup」按鈕,再按一下「Send a postMessage」,確認訊息是否確實送達。
將文件與跨來源視窗隔離
設定 same-origin 可將文件與跨來源文件視窗隔離。
Cross-Origin-Opener-Policy: same-origin將文件與跨來源視窗隔離,但允許彈出式視窗
設定 same-origin-allow-popups 可讓文件保留對彈出式視窗的參照,除非這些視窗使用 same-origin 或 same-origin-allow-popups 設定 COOP。也就是說,same-origin-allow-popups 仍可保護文件,避免在以彈出式視窗開啟時遭到參照,但允許文件與自己的彈出式視窗通訊。
Cross-Origin-Opener-Policy: same-origin-allow-popups允許跨來源視窗參照文件
unsafe-none 是預設值,但您可以明確指出這份文件可由跨來源視窗開啟,並保留相互存取權。
Cross-Origin-Opener-Policy: unsafe-none與 COOP 不相容的報表模式
當 COOP 阻止與 Reporting API 的跨視窗互動時,您會收到報表。
Cross-Origin-Opener-Policy: same-origin; report-to="coop"COOP 也支援僅回報模式,因此您可以在不實際封鎖跨來源文件間通訊的情況下接收回報。
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"支援的瀏覽器
瞭解詳情
跨源資源共享 (CORS)
與本文中的其他項目不同,跨源資源共享 (CORS) 並非標頭,而是瀏覽器機制,可要求及允許存取跨源資源。
根據預設,瀏覽器會強制執行同源政策,防止網頁存取跨源資源。舉例來說,載入跨來源圖片時,即使圖片會顯示在網頁上,網頁上的 JavaScript 也無法存取圖片資料。資源供應商可以選擇啟用 CORS,放寬限制並允許其他網站讀取資源。
使用範例
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
在瞭解如何設定 CORS 之前,建議您先瞭解要求類型之間的差異。系統會根據要求詳細資料,將要求歸類為簡單要求或預檢要求。
簡易要求的條件:
- 方法為
GET、HEAD或POST。 - 自訂標題僅包含
Accept、Accept-Language、Content-Language和Content-Type。 Content-Type為application/x-www-form-urlencoded、multipart/form-data或text/plain。
其他所有要求都會歸類為預檢要求。詳情請參閱 跨源資源共享 (CORS) - HTTP | MDN。
建議用途
簡單要求
如果要求符合簡單要求條件,瀏覽器會傳送含有 Origin 標頭的跨來源要求,指出要求來源。
要求標頭範例
Get / HTTP/1.1 Origin: https://example.com
回應標頭範例
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://example.com表示https://example.com可以存取回應內容。如果資源要讓任何網站都能讀取,可以將這個標頭設為*,這樣一來,瀏覽器只會要求不使用憑證提出要求。Access-Control-Allow-Credentials: true表示允許攜帶憑證 (Cookie) 的要求載入資源。否則,即使要求來源出現在Access-Control-Allow-Origin標頭中,通過驗證的要求也會遭到拒絕。
您可以在這個示範中,嘗試簡單要求對 Cross-Origin-Embedder-Policy: require-corp 環境下載入資源的影響。勾選「跨源資源共享」核取方塊,然後按一下「重新載入圖片」按鈕,即可查看效果。
預檢要求
預檢要求會先傳送 OPTIONS 要求,檢查是否允許傳送後續要求。
要求標頭範例
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
Access-Control-Request-Method: POST允許使用POST方法提出下列要求。Access-Control-Request-Headers: X-PINGOTHER, Content-Type可讓要求者在後續要求中設定X-PINGOTHER和Content-TypeHTTP 標頭。
回應標頭範例
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
Access-Control-Allow-Methods: POST, GET, OPTIONS表示後續要求可透過POST、GET和OPTIONS方法提出。Access-Control-Allow-Headers: X-PINGOTHER, Content-Type表示後續要求可以包含X-PINGOTHER和Content-Type標頭。Access-Control-Max-Age: 86400表示預檢要求結果可快取 86400 秒。
支援的瀏覽器
瞭解詳情
跨來源嵌入程式政策 (COEP)
為降低以 Spectre 為基礎的攻擊竊取跨來源資源的可能性,系統預設會停用 SharedArrayBuffer 或 performance.measureUserAgentSpecificMemory() 等功能。
Cross-Origin-Embedder-Policy: require-corp 會禁止文件和工作站載入跨來源資源,例如圖片、指令碼、樣式表、iframe 等,除非這些資源明確選擇透過 CORS 或 CORP 標頭載入。COEP 可與 Cross-Origin-Opener-Policy 搭配使用,將文件加入跨來源隔離。
如要為文件啟用跨來源隔離,請使用 Cross-Origin-Embedder-Policy: require-corp。
使用範例
Cross-Origin-Embedder-Policy: require-corp
使用範例
COEP 採用單一值 require-corp。傳送這個標頭後,您就能指示瀏覽器封鎖未透過 CORS 或 CORP 選擇加入的資源。
您可以嘗試下列設定,瞭解這些設定對這個示範載入資源的影響。變更「Cross-Origin-Embedder-Policy」下拉式選單、「Cross-Origin-Resource-Policy」下拉式選單、「Report Only」核取方塊等,瞭解這些設定對載入資源的影響。此外,請開啟報表端點的示範,確認系統是否會回報遭封鎖的資源。
啟用跨原始來源隔離
傳送 Cross-Origin-Embedder-Policy: require-corp 和 Cross-Origin-Opener-Policy: same-origin,啟用跨來源隔離。
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
回報與 COEP 不相容的資源
您可以使用 Reporting API 接收因 COEP 而遭到封鎖的資源報表。
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"COEP 也支援僅回報模式,因此您可以在不實際封鎖載入資源的情況下接收報表。
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"支援的瀏覽器
瞭解詳情
HTTP 嚴格傳輸安全性 (HSTS)
透過純 HTTP 連線進行通訊時,資料不會經過加密,因此網路層級的竊聽者可以存取傳輸的資料。
Strict-Transport-Security 標頭會通知瀏覽器,一律不得使用 HTTP 載入網站,而是改用 HTTPS。設定完成後,瀏覽器會使用 HTTPS (而非 HTTP) 存取網域,且不會在標頭定義的期間內重新導向。
使用範例
Strict-Transport-Security: max-age=31536000
建議用途
所有從 HTTP 遷移至 HTTPS 的網站,在收到 HTTP 要求時,都應以 Strict-Transport-Security 標頭回應。
Strict-Transport-Security: max-age=31536000支援的瀏覽器