Was sind aus Sicherheitsgründen die wichtigen Felder im HTTP-Header? Ich habe versucht, es zu googeln, konnte es aber nicht finden. Kann mir jemand einen Link geben, um darüber zu lesen? Danke im Voraus.
quelle
Was sind aus Sicherheitsgründen die wichtigen Felder im HTTP-Header? Ich habe versucht, es zu googeln, konnte es aber nicht finden. Kann mir jemand einen Link geben, um darüber zu lesen? Danke im Voraus.
Was sind aus Sicherheitsgründen die wichtigen Felder im HTTP-Header?
Wenn es um Sicherheit geht, besteht die sicherste Antwort darin, alles zu berücksichtigen und dabei den Dingen Vorrang einzuräumen, die Angreifer bekanntermaßen ausnutzen.
Die Header, die Ihr Server auf Anfrage zurückgibt, sind für Angreifer wichtig ( insbesondere Felder, in denen die Software- / Versionsinformationen zu Ihrem Webserver verfügbar gemacht werden oder die es dem Angreifer auf andere Weise ermöglichen, den Server zu profilieren). (... und +1 für die Mod_header-Direktiven von John Conde in diesem Punkt - es schadet definitiv nicht, Client-Browsern anzuweisen, CSRF / XSS-Richtlinien durchzusetzen.)
Die Header, die Ihr Webserver und Ihre Anwendung mit einer Anfrage akzeptieren (dh alles, was Ihr Webserver oder Ihre Anwendung analysieren muss), sind für Sie wichtig, da (a) Ihr Webserver sich wahrscheinlich bemüht, alle zu analysieren - was dem Angreifer möglicherweise a Mittel zum Ausführen eines Pufferüberlaufs oder eines Slowloris- Angriffs - und (b) Ihre Anwendung muss alles, was als Eingabe verwendet wird, bereinigen und / oder validieren (wie im Fall eines Cookies, das möglicherweise geändert wurde).
Hier sind einige, die ich benutze:
Nützliche Tinten:
https://developer.mozilla.org/de/the_x-frame-options_response_header https://wiki.mozilla.org/Security/CSP/Specification http://www.google.com/support/forum/p/Web% 20Suche / Thread? Tid = 187e02e745a50a77 & hl = en
quelle
X-Frame-Options
ist bei diesen Diensten ein Problem. Siehe das Folgende: webmasters.stackexchange.com/a/31289/9876Sie möchten auch sicherstellen, dass wichtige Cookie-Header mit dieser
HttpOnly
Option gesendet werden .http://www.owasp.org/index.php/HttpOnly
Es gibt anscheinend Möglichkeiten, dies extern mit ModSecurity zu erzwingen , und natürlich können (und sollten) Sie dies innerhalb des Anwendungscodes festlegen, der Cookies setzt.
quelle