2019-M01 - Security Header
在之前的經驗中
有不少研究、開發人員對於網頁服務中的一些安全性設定不是很了解
在這篇[0] 文章中有幫忙整理了一些 對於網頁服務需要設定的 header
X- 系列的 HTTP Header 在 MDN[1] 被描述成
- 客製化的 HTTP Header
- 2012 年的 RFC6648 標記成 DEPRECATING (不過現在大家也是很常用)
- IANA[2] 列出各種標準的 HTTP header 以及相對的 RFC 編號 (真的很多...)
不過還是有不少瀏覽器會根據 X- 的 HTTP header 提供額外的功能 像是
- X-XSS-Protection 針對 XSS 做額外的防護
- X-Frame-Options 針對 iFrame 做額外的設定
- XSRF-HEADER 針對 CSP (Cotent Security Policy) 做額外設定
- Referrer-Policy
不過在使用時 強烈建議要考慮各種瀏覽器、版本之間的支援程度
像是常用的 CSP 設定 不同的參數在不同瀏覽器都有不一樣支援程度
可以參考 MDN[3] 的清單就可以發現 base-uri 雖然在大多數瀏覽器都支援
但是在 IE 跟 Edge 反而就不支援了
[0]: https://dev.to/shosta/security-headers-to-use-on-your-webserver-3id5
[1]: https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers
[2]: https://www.iana.org/assignments/message-headers/message-headers.xhtml
[3]: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP