支持的端点配置
安全头
安全性标头是可用于提高应用程序安全性的 HTTP 响应标头。换而言之,这些标头指示 Web 浏览器激活安全性防范措施,以保护您的站点不受攻击。
支持的标头
Strict-Transport-Security
Strict Transport Security 是一个 Web 安全策略,有助于保护网站不受协议降级攻击和 cookie 劫持。该策略允许 Web 服务器使用安全的 HTTPS 连接进行交互,而绝不通过不安全的 HTTP 协议进行交互。
X-Frame-Options
X-Frame-Options 标头能提高 web 应用的点击劫持防护。这会禁用站点上的内嵌框架,禁止其他人嵌入您的内容。
X-XSS-Protection
X-XSS-Protection 允许开发人员更改跨站点脚本安全过滤器的行为。这些过滤器识别不安全的 HTML 输入,并且阻止站点加载或删除潜在的恶意脚本。
X-Content-Type-Options
该标头通常用于控制 Web 浏览器中的 MIME 类型嗅探功能。如果 Content-Type 标头为空或缺失,浏览器会识别内容并尝试以适当的方式显示来源。
Content-Security-Policy
该标头提供防止多重漏洞(例如,XSS、点击劫持、协议降级和框架注入)的额外安全层。如果启用,这会对浏览器呈现页面的方式产生重要影响。
X-Permitted-Cross-Domain-Policies
跨域策略文件是一种 XML 文档,向 Web 客户端(例如 Adobe Flash Player 或 Adobe Acrobat)提供跨域处理数据的权限。
Referrer-Policy
Referrer-Policy 标头控制的是在请求中应包含在来源网站标头中发送的哪些来源网站信息。该安全性标头可以包含在网站服务器向客户端发送的通信上。
Feature-Policy
Feature-Policy 标头提供允许和拒绝在自己的框架内使用浏览器功能和 API 的机制。
Access-Control-Allow-Origin
Access-Control-Allow-Origin 标头包含在从一个网站向来源于另一个网站的请求发出的响应中。也识别允许的请求来源。
Expect-CT
这是一个响应型标头,阻止站点使用错误颁发的证书,并且确保一定会察觉到这些使用行为。
Public-Key-Pins
该响应头是一个安全机制,允许 HTTPS 网站拒绝攻击者使用错误颁发或其他欺诈性证书假冒身份。
这些标头对服务器评级有什么影响?
例如,Strict-Transport-Security 标头具有评级。下面提供了解释:
验证 | 服务器评级 |
|---|---|
最大年龄 < 10368000(120 天) | 有风险 |
最大年龄 >= 10368000,最大年龄 < 31536000 | 安全 |
最大年龄 >= 31536000(1 年) | 非常安全 |
注意
仅当请求成功时 (HTTP 200 OK),Strict-Transport-Security 具有评级。
HTTP 响应头
HTTP 响应头具有服务器在收到 HTTP 请求后往回发送至浏览器的信息,包括文件的日期、大小和类型。
在 HTTP 响应中收到的所有标头均可用于分析。
密码
为了保证通信安全,TLS 客户端和服务器需要约定双方用于安全连接的密码算法和密钥。
但是,这具有无数种可能的组合选择。TLS 仅允许使用明确定义的特定组合选择,也称为密码套件。
Discovery 识别服务器支持的所有密码套件,并且根据行业最佳实践将其归类为不安全、弱和安全类别。
弱
具有 AES 和 CBC 模式的密码套件
3DES
不安全
RC4
导出密码
使用 MD5 的密码
空密码
使用匿身份验证证的密码
DES
注意
“安全”类别包括可安全使用的推荐密码套件。