支持的端点配置

安全性标头

安全性标头描述的是可用于提高应用程序安全性的 HTTP 响应标头。换而言之,这些标头指示 Web 浏览器激活一组安全性防范措施,以保护您的站点不受攻击。

支持的标头

Strict-Transport-Security

Strict Transport Security 是一个 Web 安全策略机制,有助于保护网站不受协议降级攻击和 cookie 劫持。该策略允许 Web 服务器使用安全的 HTTPS 连接进行交互,而绝不通过不安全的 HTTP 协议进行交互。

X-Frame-Options

X-Frame-Options 响应头提高 Web 应用程序的点击劫持防护。这会禁用站点上的内嵌框架,禁止其他人嵌入您的内容。

X-XSS-Protection

X-XSS-Protection 允许开发人员更改跨站脚本攻击安全过滤器的行为。这些过滤器识别不安全的 HTML 输入,并且阻止站点加载或删除潜在的恶意脚本。

X-Content-Type-Options

该标头通常用于控制 Web 浏览器中的 MIME 类型嗅探功能。如果 Content-Type 标头为空或缺失,浏览器会识别内容并尝试以适当的方式显示来源。

Content-Security-Policy

该标头提供防止多重漏洞(例如,XSS、点击劫持、协议降级和框架注入)的额外防护层。如果启用,这会对浏览器呈现页面的方式产生重要影响。

X-Permitted-Cross-Domain-Policies

跨域策略文件是一种 XML 文档,向 Web 客户端(例如但不限于,Adobe Flash Player 或 Adobe Acrobat)提供跨域处理数据的权限。

Referrer-Policy

Referrer-Policy HTTP 标头控制的是在请求中应包含在来源网站标头中发送的哪些来源网站信息。换而言之,该安全性标头可以包含在网站服务器向客户端发送的通信上。

Feature-Policy

Feature-Policy 标头提供允许和拒绝在自己的框架内使用浏览器功能和 API 的机制。

Access-Control-Allow-Origin

Access-Control-Allow-Origin 标头包含在从一个网站向来源于另一个网站的请求发出的响应中,也识别允许的请求来源。

Expect-CT

这是一个响应型标头,阻止站点使用错误颁发的证书,并且确保一定会察觉到这些使用行为。

Public-Key-Pins

该响应头是一个安全机制,允许 HTTPS 网站拒绝攻击者使用错误颁发或其他欺诈性证书假冒身份。

这些标头对服务器评级有什么影响?

例如,Strict-Transport-Security 标头具有评级。下面提供了解释:

验证 服务器评级
最大年龄 < 10368000 (120 days) At risk
max-age >= 10368000,最大年龄 < 31536000 Secure
max-age >= 31536000(1 年) 非常安全

仅当请求成功时 (HTTP 200 OK),Strict-Transport-Security 具有评级。

HTTP 响应头

HTTP 响应头具有 Web 服务器在收到 HTTP 请求后往回发送至浏览器的信息,包括文件的日期、大小和类型。

在 HTTP 响应中收到的所有标头均可用于分析。

密码

为了保证通信安全,TLS 客户端和服务器需要约定双方用于安全连接的密码算法和密钥。

但是,这具有无数种可能的组合选择,而 TLS 仅允许使用明确定义的特定组合选择,也称为密码套件。

Discovery 识别服务器支持的所有密码套件,并且根据行业最佳实践将其归类为不安全、弱和安全类别。

  1. 具有 AES 和 CBC 模式的密码套件
  2. 3DES

不安全

  1. RC4
  2. 导出密码。
  3. 使用 MD5 的密码
  4. 空密码
  5. 使用匿名认证的密码
  6. DES

“安全”类别包括可安全使用的推荐密码套件。