一些安全相关的 HTTP 响应头

Question

现代浏览器提供了一些安全相关的响应头，使用这些响应头一般只需要修改服务器配置即可，不需要修改程序代码，成本很低。本文介绍一些这样的响应头：

1. Strict-Transport-Security

HTTP Strict Transport Security ，简称为 HSTS。它允许一个 HTTPS 网站，要求浏览器总是通过 HTTPS 来访问它。现阶段，除了 Chrome 浏览器，Firefox4+，以及 Firefox 的 NoScript 扩展都支持这个响应头。

我们知道 HTTPS 相对于 HTTP 有更好的安全性，而很多 HTTPS 网站，也可以通过 HTTP 来访问。开发人员的失误或者用户主动输入地址，都有可能导致用户以 HTTP 访问网站，降低了安全性。一般，我们会通过 Web Server 发送 301/302 重定向来解决这个问题。现在有了 HSTS，可以让浏览器帮你做这个跳转，省一次 HTTP 请求。另外，浏览器本地替换可以保证只会发送 HTTPS 请求，避免被劫持。

要使用 HSTS，只需要在你的 HTTPS 网站响应头中，加入下面这行：

strict-transport-security: max-age=16070400; includeSubDomains

includeSubDomains 是可选的，用来指定是否作用于子域名。支持 HSTS 的浏览器遇到这个响应头，会把当前网站加入 HSTS 列表，然后在 max-age 指定的秒数内，当前网站所有请求都会被重定向为 https。即使用户主动输入 http:// 或者不输入协议部分，都将重定向到 https:// 地址。

Chrome 内置了一个 HSTS 列表，默认包含 Google、Paypal、Twitter、Linode 等等服务。我们也可以在 Chrome 输入 chrome://net-internals/#hsts，进入 HSTS 管理界面。在这个页面，你可以增加/删除/查询 HSTS 记录。例如，你想一直以 https 访问某网址，通过“add Domain”加上去就好了。查看 Chrome 内置的全部 HSTS 列表，或者想把自己的网站加入这个列表，请 点这里 。

2. X-Frame-Options

X-Frame-Options ，已经转正为 Frame-Options ，但现阶段使用最好还是带上 X-。Chrome4+、Firefox3.6.9+、IE8+均支持，详细的浏览器支持情况 看这里 。使用方式如下：

x-frame-options: SAMEORIGIN

这个响应头支持三种配置：

• DENY：不允许被任何页面嵌入；
• SAMEORIGIN：不允许被本域以外的页面嵌入；
• ALLOW-FROM uri：不允许被指定的域名以外的页面嵌入（Chrome 现阶段不支持）；

如果某页面被不被允许的页面以<iframe>或<frame>的形式嵌入，IE 会显示类似于“此内容无法在框架中显示”的提示信息，Chrome 和 Firefox 都会在控制台打印信息。由于嵌入的页面不会加载，这就减少了点击劫持（Clickjacking）的发生。

3. X-XSS-Protection

顾名思义，这个响应头是用来防范 XSS 的。最早我是在介绍 IE8 的文章里看到这个，现在主流浏览器都支持，并且默认都开启了 XSS 保护，用这个 header 可以关闭它。它有几种配置：

• 0：禁用 XSS 保护；
• 1：启用 XSS 保护；
• 1; mode=block：启用 XSS 保护，并在检查到 XSS 攻击时，停止渲染页面（例如 IE8 中，检查到攻击时，整个页面会被一个#替换）；

浏览器提供的 XSS 保护机制并不完美，但是开启后仍然可以提升攻击难度，总之没有特别的理由，不要关闭它。

4. X-Content-Type-Options

互联网上的资源有各种类型，通常浏览器会根据响应头的 Content-Type 字段来分辨它们的类型。例如："text/html"代表 html 文档，"image/png"是 PNG 图片，"text/css"是 CSS 样式文档。然而，有些资源的 Content-Type 是错的或者未定义。这时，某些浏览器会启用 MIME-sniffing 来猜测该资源的类型，解析内容并执行。

例如，我们即使给一个 html 文档指定 Content-Type 为"text/plain"，在 IE8-中这个文档依然会被当做 html 来解析。利用浏览器的这个特性，攻击者甚至可以让原本应该解析为图片的请求被解析为 JavaScript。通过下面这个响应头可以禁用浏览器的类型猜测行为：

X-Content-Type-Options: nosniff

这个响应头的值只能是 nosniff，可用于 IE8+和 Chrome。另外，它还被 Chrome 用于扩展下载， 见这里 。

5. X-Content-Security-Policy

这个响应头主要是用来定义页面可以加载哪些资源，减少 XSS 的发生。之前单独介绍过，请点击继续浏览： Content Security Policy 介绍 。

别人怎么用

最后，我们来看看几个实际案例：

Google+，使用了这几个本文提到的响应头：

x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block

Twitter 使用了这些：

strict-transport-security: max-age=631138519
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block

PayPal 的：

X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=14400

Facebook 则使用了这些（配置了详细的 CSP，关闭了 XSS 保护）：

strict-transport-security: max-age=60
x-content-type-options: nosniff
x-frame-options: DENY
x-xss-protection: 0
content-security-policy: default-src *;script-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl 'unsafe-inline' 'unsafe-eval' https://*.akamaihd.net http://*.akamaihd.net;style-src * 'unsafe-inline';connect-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.spotilocal.com:* https://*.akamaihd.net ws://*.facebook.com:* http://*.akamaihd.net https://fb.scanandcleanlocal.com:*;