blog前端上运用的一些技术

2016-11-30 - 0 Comments

HTTP/V2

使用最新版本的Tengine-2.1.2来使服务器能够支持http v2

HTTPS

全站https化,用了Let's Encrypt签发的免费证书,但只有三个月的时间,把 certbot 命令写入crontab来实现自动申请

CSP

Content Security Policy 主要是用来定义页面可以加载哪些资源,减少 XSS 的发生。不过wordpress本身有很多地方和这玩意有冲突,只能牺牲安全性能了,现在把script-src的安全性降低来兼容wordpress

HSTS

HTTP Strict Transport Security 它主要功能是告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。

X-XSS-Protection

顾名思义,这个响应头是用来防范XSS的。
0:禁用XSS保护;
1:启用XSS保护;
1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面

X-Frame-Options

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。

X-Content-Type-Options

用来告诉浏览器关闭文档类型自动判断功能