支援的端點組態

安全標題

「安全標題」說明可用於增加您應用程式的安全性的 HTTP 回應標題。換言之,這些標題指示網頁瀏覽器啟用保護您的網站免於遭到攻擊的一組安全預防措施。

支援的標題

Strict-Transport-Security

「嚴格運輸安全性」是一種 Web 安全政策機制,協助保護網站免於通訊協定降級攻擊和 Cookie 劫持。此政策允許網頁伺服器使用安全 HTTPS 連線,且從不透過不安全的 HTTP 通訊協定互動。

X-Frame-Options

X-Frame-Options 回應標題改良 Web 應用程式免於遭受 Clickjacking 攻擊的保護。這會停用網站上,而且不允許內嵌在您內容的 IFrame。

X-XSS-Protection

X-XSS-Protection 允許開發人員變更 Cross-Site Scripting 安全篩選器的行為。這些篩選器識別不安全的 HTML 輸入,並且阻止台灣載入或移除可能的惡意指令集。

X-Content-Type-Options

此標題通常用於控制 Web 瀏覽器中的 MIME 類型探查功能。如果 Content-Type (內容類型) 標題空白或遺漏,瀏覽器會識別內容並嘗試以適當的方式顯示來源。

Content-Security-Policy

此標題提供額外的安全層保護漏洞,例如 XSS、Clickjacking、Protocol Downgrading 和 Frame Injection。如果啟用,這會對瀏覽器提供頁面的方式有重大影響。

X-Permitted-Cross-Domain-Policies

跨網域政策檔案是一款 XML 文件,允許 Adobe Flash Player 或 Adobe Acrobat (透過對這些用戶端的非必要限制) 等 Web 用戶端跨網域處理資料。

Referrer-Policy

Referrer-Policy HTTP 標題管理查閱者資訊,應納入所做的要求內。換言之,此安全標題可納入從網站的伺服器到用戶端的通訊中。

Feature-Policy

Feature-Policy 標題提供一種機制,以允許和拒絕在其自己的訊框內使用瀏覽器功能和 API。

Access-Control-Allow-Origin

Access-Control-Allow-Origin 標題納入從一個網域到源自其他網站的要求的回應中,並且識別允許的要求來源。

Expect-CT

這是一種 response-type 標題,防止使用錯誤發行用於網站的憑證並確保網站不會未收到通知。

Public-Key-Pins

此回應標題是一種機制,允許 HTTPS 網站抵擋攻擊者使用錯誤發行或欺詐的憑證進行的模擬。

標題如何影響伺服器評級?

例如,Strict-Transport-Security 標題得到評級。解釋依據:

驗證 伺服器評級
max-age < 10368000 (120 days) At risk
max-age >= 10368000 和 max-age < 31536000 Secure
max-age >= 31536000 (1 年) 非常安全

Strict-Transport-Security 僅在要求成功時得到評級 (HTTP 200 OK)。

HTTP 回應標題

HTTP 回應標題有包括檔案的日期、大小和類型的資訊,網頁伺服器在收到 HTTP 要求時將這些資料傳回瀏覽器。

HTTP 回應中收到的所有標題都可用於分析。

密碼

關於安全通訊,TLS 用戶端和伺服器需要同意用於安全連線的加密演算法和金鑰。

但有可能的多個選擇和 TLS 的組合,僅允許特定定義良好的這些選擇的組合,也稱為「密碼套件」。

「探索」識別伺服器支援的所有密碼套件,並根據業界最佳做法將其分類為「不安全」、「弱」、「安全」類別。

  1. 使用 AES 和 CBC 模式的密碼套件
  2. 3DES

不安全

  1. RC4
  2. 「匯出」密碼
  3. 使用 MD5 加密
  4. 空密碼
  5. 使用匿名驗證加密
  6. DES

“安全”類別由使用上安全的建議的密碼套件所組成。