非 HTML(图像、JavaScript 等)上的 HTTP 安全标头

信息安全 tls http xss html hsts
2021-08-31 07:55:29

假设,下面的 HTTP 安全标头应用于站点的所有 HTML 页面:

  • HTTP 严格传输安全 (HSTS)
  • X 框架选项 (XFO)
  • X-XSS-保护
  • X-Content-Type-Options

将这些 HTTP 安全标头放在非 HTML 资源(图像、JavaScript 文件等)上是否可以,但这些标头适用于所有 HTML 资源

有什么安全风险吗?

1个回答

依靠。如果网站接受用户提交的内容,最好保留 XSS 和 nosniff 标头,以防它们提供漏洞。

缺乏 HSTS 也很好;但是,请确保您的 cookie 与 HTTP 和 HTTPS 分开,以防万一。

其它你可能感兴趣的问题
上一篇Facebook iOS SDK 身份验证 下一篇Web 应用程序数据安全的最佳实践