Узнайте больше о заголовках, которые могут обеспечить безопасность вашего сайта и быстро найти самую важную информацию.
В этой статье перечислены самые важные заголовки безопасности, которые вы можете использовать для защиты своего веб-сайта. Используйте ее для понимания веб-функций безопасности, узнайте, как внедрить их на своем веб-сайте, и в качестве справочного материала, когда вам нужно напоминание.
- Заголовки безопасности, рекомендуемые для веб-сайтов, обрабатывающих конфиденциальные данные пользователей:
- Политика безопасности контента (CSP)
- Надежные типы
- Заголовки безопасности, рекомендуемые для всех веб-сайтов:
- X-Content-Type-Options
- X-Frame-опции
- Политика кросс-источника ресурсов (CORP)
- Политика открытия кросс-источников (COOP)
- Строгая безопасность транспорта HTTP (HSTS)
- Заголовки безопасности для веб-сайтов с расширенными возможностями:
- Совместное использование ресурсов между источниками (CORS)
- Политика внедрения перекрестного происхождения (COEP)
Прежде чем углубляться в заголовки безопасности, узнайте об известных угрозах в Интернете и о том, почему вам следует использовать эти заголовки безопасности.
Защитите свой сайт от уязвимостей инъекций
Уязвимости инъекций возникают, когда ненадежные данные, обрабатываемые вашим приложением, могут повлиять на его поведение и, как правило, привести к выполнению скриптов, контролируемых злоумышленником. Наиболее распространенной уязвимостью, вызванной ошибками инъекций, является межсайтовый скриптинг (XSS) в его различных формах, включая отраженный XSS , сохраненный XSS , DOM-based XSS и другие варианты.
Уязвимость XSS обычно может предоставить злоумышленнику полный доступ к пользовательским данным, обрабатываемым приложением, и любой другой информации, размещенной в том же веб-источнике .
Традиционные методы защиты от инъекций включают последовательное использование систем HTML-шаблонов с автоматическим экранированием, отказ от использования опасных API JavaScript и правильную обработку пользовательских данных путем размещения загружаемых файлов в отдельном домене и очистки контролируемого пользователем HTML-кода.
- Используйте политику безопасности контента (CSP) для управления тем, какие скрипты может выполнять ваше приложение, чтобы снизить риск инъекций.
- Используйте доверенные типы для принудительной очистки данных, передаваемых в опасные API JavaScript.
- Используйте X-Content-Type-Options , чтобы предотвратить неправильную интерпретацию браузером типов MIME ресурсов вашего веб-сайта, что может привести к выполнению скрипта.
Изолируйте свой сайт от других веб-сайтов
Открытость сети позволяет веб-сайтам взаимодействовать друг с другом способами, которые могут нарушить ожидания безопасности приложения. Это включает в себя неожиданное выполнение аутентифицированных запросов или внедрение данных из другого приложения в документ злоумышленника, что позволяет злоумышленнику изменять или читать данные приложения.
К распространенным уязвимостям, которые подрывают веб-изоляцию, относятся кликджекинг , подделка межсайтовых запросов (CSRF), включение межсайтовых скриптов (XSSI) и различные межсайтовые утечки .
- Используйте X-Frame-Options , чтобы предотвратить внедрение ваших документов вредоносным веб-сайтом.
- Используйте политику кросс-доменных ресурсов (CORP) , чтобы предотвратить включение ресурсов вашего веб-сайта в кросс-доменный веб-сайт.
- Используйте политику Cross-Origin Opener Policy (COOP) для защиты окон вашего веб-сайта от взаимодействия с вредоносными веб-сайтами.
- Используйте Cross-Origin Resource Sharing (CORS) для управления доступом к ресурсам вашего веб-сайта из документов из разных источников.
Если вас интересуют эти заголовки, вам будет полезно почитать книгу «Разработка веб-сайтов после Spectre» .
Создайте мощный и безопасный веб-сайт
Spectre помещает любые данные, загруженные в ту же группу контекста просмотра , потенциально читаемыми, несмотря на политику одного и того же источника . Браузеры ограничивают функции, которые могут потенциально эксплуатировать уязвимость за специальной средой, называемой « изоляция между источниками ». С изоляцией между источниками вы можете использовать мощные функции, такие как SharedArrayBuffer .
- Используйте политику встраивания Cross-Origin (COEP) вместе с COOP для обеспечения изоляции между источниками.
Шифруйте трафик на ваш сайт
Проблемы с шифрованием возникают, когда приложение не полностью шифрует передаваемые данные, что позволяет злоумышленникам узнать о взаимодействии пользователя с приложением.
Недостаточное шифрование может возникнуть в следующих случаях: не используется HTTPS, смешанный контент , установка файлов cookie без атрибута Secure (или префикса __Secure ) или слабая логика проверки CORS .
- Используйте HTTP Strict Transport Security (HSTS) для последовательной доставки вашего контента через HTTPS.
Политика безопасности контента (CSP)
Межсайтовый скриптинг (XSS) — это атака, при которой уязвимость на веб-сайте позволяет внедрить и выполнить вредоносный скрипт.
Content-Security-Policy обеспечивает дополнительный уровень защиты от XSS-атак, ограничивая набор скриптов, которые может выполнять страница.
Рекомендуется включить строгую защиту конфиденциальности (CSP), используя один из следующих подходов:
- Если вы отображаете свои HTML-страницы на сервере, используйте строгую CSP на основе одноразовых значений .
- Если ваш HTML-код должен обслуживаться статически или кэшироваться, например, если это одностраничное приложение, используйте строгую CSP на основе хэша .
Пример использования: CSP на основе одноразового использования
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Рекомендуемые варианты использования
1. Используйте строгий CSP на основе nonce {: #nonce-based-csp}
Если вы отображаете свои HTML-страницы на сервере, используйте строгую CSP на основе одноразовых значений .
Сгенерируйте новое значение nonce скрипта для каждого запроса на стороне сервера и установите следующий заголовок:
файл конфигурации сервера
Content-Security-Policy: script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
В HTML, чтобы загрузить скрипты, установите атрибут nonce всех тегов <script> на одну и ту же строку {RANDOM1} .
индекс.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>Google Photos — хороший пример строгой CSP на основе nonce. Используйте DevTools, чтобы увидеть, как это используется.
2. Используйте строгий CSP на основе хэша {: #hash-based-csp}
Если ваш HTML-код должен обслуживаться статически или кэшироваться, например, если вы создаете одностраничное приложение, используйте строгую CSP на основе хэша .
файл конфигурации сервера
Content-Security-Policy: script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
В HTML вам придется встраивать свои скрипты, чтобы применить политику на основе хеширования, поскольку большинство браузеров не поддерживают хеширование внешних скриптов .
индекс.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
Чтобы загрузить внешние скрипты, прочтите раздел «Динамическая загрузка исходных скриптов» в разделе Вариант B: Заголовок ответа CSP на основе хэша .
CSP Evaluator — хороший инструмент для оценки вашего CSP, но в то же время хороший пример строгого CSP на основе nonce. Используйте DevTools, чтобы увидеть, как он используется.
Поддерживаемые браузеры
Другие моменты, которые следует отметить относительно CSP
- Директива
frame-ancestorsзащищает ваш сайт от clickjacking — риска, который возникает, если вы позволяете ненадежным сайтам встраивать ваш. Если вы предпочитаете более простое решение, вы можете использоватьX-Frame-Options, чтобы заблокировать загрузку, ноframe-ancestorsдает вам расширенную конфигурацию, чтобы разрешить только определенные источники в качестве встраивателей. - Вы могли использовать CSP, чтобы гарантировать, что все ресурсы вашего сайта загружаются через HTTPS . Это стало менее актуально: в настоящее время большинство браузеров блокируют смешанный контент .
- Вы также можете настроить CSP в режиме «только отчет» .
- Если вы не можете установить CSP как заголовок на стороне сервера, вы также можете установить его как метатег. Обратите внимание, что вы не можете использовать режим только отчета для метатегов (хотя это может измениться ).
Узнать больше
Надежные типы
XSS на основе DOM — это атака, при которой вредоносные данные передаются в приемник, поддерживающий динамическое выполнение кода, например eval() или .innerHTML .
Trusted Types предоставляют инструменты для написания, проверки безопасности и поддержки приложений, свободных от DOM XSS. Их можно включить через CSP , и они сделают код JavaScript безопасным по умолчанию, ограничив опасные веб-API, чтобы принимать только специальный объект — Trusted Type.
Для создания этих объектов вы можете определить политики безопасности, в которых вы можете гарантировать, что правила безопасности (такие как экранирование или очистка) будут последовательно применяться до того, как данные будут записаны в DOM. Эти политики затем станут единственными местами в коде, которые потенциально могут ввести DOM XSS.
Примеры использования
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
Рекомендуемые варианты использования
Принудительное применение доверенных типов для опасных приемников DOM CSP и заголовок доверенных типов:
Content-Security-Policy: require-trusted-types-for 'script'В настоящее время единственным приемлемым значением для директивы
require-trusted-types-for'script'.Конечно, вы можете комбинировать доверенные типы с другими директивами CSP:
Объединение CSP на основе nonce, описанного выше, с доверенными типами:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>Примечание: </b> Вы можете ограничить разрешенные имена политик Trusted Types, установив дополнительную директиву <code>trusted-types</code> (например, <code>trusted-types myPolicy</code>). Однако это не является обязательным требованием. </aside>
Определить политику
Политика:
// Feature detection if (window.trustedTypes && trustedTypes.createPolicy) { // Name and create a policy const policy = trustedTypes.createPolicy('escapePolicy', { createHTML: str => { return str.replace(/\/g, '>'); } }); }
Применить политику
Используйте политику при записи данных в DOM:
// Assignment of raw strings are blocked by Trusted Types. el.innerHTML = 'some string'; // This throws an exception.</p> <p>// Assignment of Trusted Types is accepted safely. const escaped = policy.createHTML('<img src="x" onerror="alert(1)">'); el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
С
require-trusted-types-for 'script'использование доверенного типа является обязательным. Использование любого опасного DOM API со строкой приведет к ошибке.
Поддерживаемые браузеры
Узнать больше
- Предотвращайте уязвимости межсайтового скриптинга на основе DOM с помощью доверенных типов
- CSP: require-trusted-types-for - HTTP | MDN
- CSP: доверенные типы - HTTP | MDN
- Демонстрация Trusted Types — откройте DevTools Inspector и посмотрите, что происходит
X-Content-Type-Options
Когда вредоносный HTML-документ отправляется с вашего домена (например, если изображение, загруженное на фотосервис, содержит допустимую HTML-разметку), некоторые браузеры будут рассматривать его как активный документ и позволят ему выполнять скрипты в контексте приложения, что приведет к ошибке межсайтового скриптинга .
X-Content-Type-Options: nosniff предотвращает это, сообщая браузеру, что тип MIME, установленный в заголовке Content-Type для данного ответа, является правильным. Этот заголовок рекомендуется для всех ваших ресурсов .
Пример использования
X-Content-Type-Options: nosniff
Рекомендуемые варианты использования
X-Content-Type-Options: nosniff рекомендуется для всех ресурсов, обслуживаемых с вашего сервера, вместе с правильным заголовком Content-Type .
Примеры заголовков, отправляемых с документом HTML
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
Поддерживаемые браузеры
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
Узнать больше
X-Frame-опции
Если вредоносный веб-сайт может встроить ваш сайт в iframe, это может позволить злоумышленникам вызывать непреднамеренные действия пользователя с помощью clickjacking . Кроме того, в некоторых случаях атаки типа Spectre дают вредоносным веб-сайтам возможность узнать о содержимом встроенного документа.
X-Frame-Options указывает, следует ли разрешить браузеру отображать страницу в <frame> , <iframe> , <embed> или <object> . Всем документам рекомендуется отправлять этот заголовок, чтобы указать, разрешают ли они встраиваться в другие документы.
Пример использования
X-Frame-Options: DENY
Рекомендуемые варианты использования
Все документы, не предназначенные для встраивания, должны использовать заголовок X-Frame-Options .
Вы можете попробовать, как следующие конфигурации влияют на загрузку iframe в этой демонстрации . Измените раскрывающееся меню X-Frame-Options и нажмите кнопку Reload the iframe .
Защищает ваш сайт от внедрения в другие сайты
Отрицать наличие вкраплений в какие-либо другие документы.
X-Frame-Options: DENYЗащищает ваш сайт от внедрения любыми кросс-доменными сайтами
Разрешить встраивание только в документы того же происхождения.
X-Frame-Options: SAMEORIGINПоддерживаемые браузеры
Узнать больше
Политика кросс-источника ресурсов (CORP)
Злоумышленник может внедрить ресурсы из другого источника, например, с вашего сайта, чтобы узнать о них информацию, используя межсайтовые утечки в Интернете.
Cross-Origin-Resource-Policy снижает этот риск, указывая набор веб-сайтов, которые могут его загрузить. Заголовок принимает одно из трех значений: same-origin , same-site и cross-origin . Всем ресурсам рекомендуется отправлять этот заголовок, чтобы указать, разрешают ли они загрузку другими веб-сайтами.
Пример использования
Cross-Origin-Resource-Policy: same-origin
Рекомендуемые варианты использования
Рекомендуется, чтобы все ресурсы обслуживались с одним из следующих трех заголовков.
Вы можете попробовать, как следующие конфигурации влияют на загрузку ресурсов в среде Cross-Origin-Embedder-Policy: require-corp в этой демонстрации . Измените раскрывающееся меню Cross-Origin-Resource-Policy и нажмите кнопку Reload the iframe или Reload the image , чтобы увидеть эффект.
Разрешить загрузку ресурсов cross-origin
Рекомендуется, чтобы службы, подобные CDN, применяли к ресурсам cross-origin (поскольку они обычно загружаются страницами кросс-источника), если только они уже не обслуживаются через CORS , который имеет аналогичный эффект.
Cross-Origin-Resource-Policy: cross-origin Ограничить загрузку ресурсов из same-origin
same-origin следует применять к ресурсам, которые должны загружаться только страницами same-origin. Вы должны применять это к ресурсам, которые включают конфиденциальную информацию о пользователе или ответы API, которые должны вызываться только из того же источника.
Помните, что ресурсы с этим заголовком по-прежнему можно загружать напрямую, например, перейдя по URL в новом окне браузера. Cross-Origin Resource Policy защищает ресурс только от внедрения другими веб-сайтами.
Cross-Origin-Resource-Policy: same-origin Ограничить загрузку ресурсов с same-site
same-site рекомендуется применять к ресурсам, аналогичным указанным выше, но предназначенным для загрузки другими поддоменами вашего сайта.
Cross-Origin-Resource-Policy: same-siteПоддерживаемые браузеры
Узнать больше
Политика открытия кросс-источников (COOP)
Веб-сайт злоумышленника может открыть другой сайт во всплывающем окне, чтобы узнать о нем информацию, используя веб -утечки между сайтами . В некоторых случаях это также может позволить использовать атаки по сторонним каналам на основе Spectre .
Заголовок Cross-Origin-Opener-Policy позволяет документу изолировать себя от окон с разными источниками, открытых через window.open() или ссылку с target="_blank" без rel="noopener" . В результате любой открыватель документа с разными источниками не будет иметь на него ссылки и не сможет с ним взаимодействовать.
Пример использования
Cross-Origin-Opener-Policy: same-origin-allow-popups
Рекомендуемые варианты использования
Вы можете попробовать, как следующие конфигурации влияют на связь с всплывающим окном с кросс-источником в этой демонстрации . Измените раскрывающееся меню Cross-Origin-Opener-Policy для документа и всплывающего окна, нажмите кнопку Open a popup , затем нажмите Send a postMessage, чтобы увидеть, действительно ли доставлено сообщение.
Изолировать документ от окон с разными источниками
Установка параметра same-origin изолирует документ от окон документов с другим происхождением.
Cross-Origin-Opener-Policy: same-originИзолировать документ от окон из разных источников, но разрешить всплывающие окна
Настройка same-origin-allow-popups позволяет документу сохранять ссылку на свои всплывающие окна, если только они не установили COOP с same-origin или same-origin-allow-popups . Это означает, что same-origin-allow-popups все еще может защитить документ от ссылок при открытии в качестве всплывающего окна, но разрешить ему взаимодействовать со своими собственными всплывающими окнами.
Cross-Origin-Opener-Policy: same-origin-allow-popupsРазрешить ссылаться на документ из окон с разными источниками
unsafe-none — значение по умолчанию, но вы можете явно указать, что этот документ может быть открыт окном с другим источником и сохранить взаимный доступ.
Cross-Origin-Opener-Policy: unsafe-noneШаблоны отчетов несовместимы с COOP
Вы можете получать отчеты, когда COOP предотвращает взаимодействие между окнами с помощью API отчетов.
Cross-Origin-Opener-Policy: same-origin; report-to="coop"COOP также поддерживает режим «только отчеты», что позволяет получать отчеты, фактически не блокируя обмен данными между документами из разных источников.
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"Поддерживаемые браузеры
Узнать больше
Совместное использование ресурсов между источниками (CORS)
В отличие от других пунктов этой статьи, Cross-Origin Resource Sharing (CORS) — это не заголовок, а механизм браузера, который запрашивает и разрешает доступ к ресурсам из разных источников.
По умолчанию браузеры применяют политику одного и того же источника , чтобы запретить веб-странице доступ к ресурсам с другим источником. Например, когда загружается изображение с другим источником, даже если оно отображается на веб-странице визуально, JavaScript на странице не имеет доступа к данным изображения. Поставщик ресурсов может ослабить ограничения и разрешить другим веб-сайтам читать ресурс, выбрав CORS.
Пример использования
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
Прежде чем рассматривать, как настроить CORS, полезно понять разницу между типами запросов. В зависимости от деталей запроса запрос будет классифицирован как простой запрос или предварительный запрос .
Критерии простого запроса:
- Метод —
GET,HEADилиPOST. - К пользовательским заголовкам относятся только
Accept,Accept-Language,Content-LanguageиContent-Type. -
Content-Type—application/x-www-form-urlencoded,multipart/form-dataилиtext/plain.
Все остальное классифицируется как предварительный запрос. Для получения более подробной информации ознакомьтесь с Cross-Origin Resource Sharing (CORS) - HTTP | MDN .
Рекомендуемые варианты использования
Простой запрос
Если запрос соответствует критериям простого запроса, браузер отправляет кросс-доменный запрос с заголовком Origin , который указывает запрашивающий источник.
Пример заголовка запроса
Get / HTTP/1.1 Origin: https://example.com
Пример заголовка ответа
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://example.comуказывает, чтоhttps://example.comможет получить доступ к содержимому ответа. Ресурсы, которые должны быть доступны для чтения любым сайтом, могут установить этот заголовок в*, в этом случае браузер потребует только, чтобы запрос был сделан без учетных данных .-
Access-Control-Allow-Credentials: trueуказывает, что запросы, содержащие учетные данные (cookie), разрешены для загрузки ресурса. В противном случае аутентифицированные запросы будут отклонены, даже если запрашивающий источник присутствует в заголовкеAccess-Control-Allow-Origin.
Вы можете попробовать, как простой запрос влияет на загрузку ресурсов в среде Cross-Origin-Embedder-Policy: require-corp в этой демонстрации . Установите флажок Cross-Origin Resource Sharing и нажмите кнопку Reload the image , чтобы увидеть эффект.
Предварительно обработанные запросы
Предварительному запросу предшествует запрос OPTIONS для проверки возможности отправки последующего запроса.
Пример заголовка запроса
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
Access-Control-Request-Method: POSTпозволяет выполнить следующий запрос с помощью методаPOST.-
Access-Control-Request-Headers: X-PINGOTHER, Content-Typeпозволяет запрашивающей стороне устанавливать HTTP-заголовкиX-PINGOTHERиContent-Typeв последующем запросе.
Примеры заголовков ответов
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
Access-Control-Allow-Methods: POST, GET, OPTIONSуказывает, что последующие запросы могут быть выполнены с помощью методовPOST,GETиOPTIONS.-
Access-Control-Allow-Headers: X-PINGOTHER, Content-Typeуказывает, что последующие запросы могут включать заголовкиX-PINGOTHERиContent-Type. -
Access-Control-Max-Age: 86400указывает, что результат предварительного запроса может кэшироваться в течение 86400 секунд.
Поддерживаемые браузеры
Узнать больше
Политика внедрения перекрестного происхождения (COEP)
Чтобы снизить способность атак на основе Spectre кражи ресурсов из разных источников, такие функции, как SharedArrayBuffer или performance.measureUserAgentSpecificMemory() по умолчанию отключены.
Cross-Origin-Embedder-Policy: require-corp запрещает документам и работникам загружать ресурсы из разных источников, такие как изображения, скрипты, таблицы стилей, фреймы и другие, если только эти ресурсы явно не выбирают загрузку через заголовки CORS или CORP . COEP можно объединить с Cross-Origin-Opener-Policy , чтобы включить документ в изоляцию из разных источников .
Используйте Cross-Origin-Embedder-Policy: require-corp если вы хотите включить кросс-доменную изоляцию для своего документа.
Пример использования
Cross-Origin-Embedder-Policy: require-corp
Примеры использования
COEP принимает одно значение require-corp . Отправляя этот заголовок, вы можете указать браузеру блокировать загрузку ресурсов, которые не подписываются через CORS или CORP .
Вы можете попробовать, как следующие конфигурации влияют на загрузку ресурсов в этой демонстрации . Измените раскрывающееся меню Cross-Origin-Embedder-Policy , раскрывающееся меню Cross-Origin-Resource-Policy , флажок Report Only и т. д., чтобы увидеть, как они влияют на загрузку ресурсов. Также откройте демонстрацию конечной точки отчетности , чтобы увидеть, сообщаются ли заблокированные ресурсы.
Включить кросс-доменную изоляцию
Включите кросс-оригинальную изоляцию , отправив Cross-Origin-Embedder-Policy: require-corp вместе с Cross-Origin-Opener-Policy: same-origin .
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
Сообщить о ресурсах, несовместимых с COEP
Вы можете получать отчеты о заблокированных ресурсах, вызванных COEP, с помощью API отчетов.
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"COEP также поддерживает режим «Только отчеты», что позволяет получать отчеты, фактически не блокируя загрузку ресурсов.
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"Поддерживаемые браузеры
Узнать больше
Строгая безопасность транспорта HTTP (HSTS)
Связь по обычному HTTP-соединению не шифруется, что делает передаваемые данные доступными для злоумышленников на сетевом уровне.
Заголовок Strict-Transport-Security сообщает браузеру, что он никогда не должен загружать сайт с использованием HTTP и использовать вместо этого HTTPS. После установки браузер будет использовать HTTPS вместо HTTP для доступа к домену без перенаправления в течение времени, определенного в заголовке.
Пример использования
Strict-Transport-Security: max-age=31536000
Рекомендуемые варианты использования
Все веб-сайты, переходящие с HTTP на HTTPS, должны отвечать заголовком Strict-Transport-Security при получении запроса с HTTP.
Strict-Transport-Security: max-age=31536000