Узнайте больше о заголовках, которые могут обеспечить безопасность вашего сайта и помочь быстро найти наиболее важную информацию.
В этой статье перечислены наиболее важные заголовки безопасности, которые вы можете использовать для защиты своего веб-сайта. Используйте её, чтобы понять функции веб-безопасности, узнать, как внедрить их на свой сайт, а также в качестве справочника, когда вам понадобится напоминание.
- Рекомендуемые заголовки безопасности для веб-сайтов, обрабатывающих конфиденциальные данные пользователей:
- Политика безопасности контента (CSP)
- Доверенные типы
- Рекомендуемые заголовки безопасности для всех веб-сайтов:
- X-Content-Type-Options
- X-Frame-Options
- Политика межрегионального доступа к ресурсам (CORP)
- Политика открытия межстрановых соединений (COOP)
- HTTP Strict Transport Security (HSTS)
- Заголовки безопасности для веб-сайтов с расширенными возможностями:
- Междоменный обмен ресурсами (CORS)
- Политика внедрения перекрестного происхождения (COEP)
Прежде чем углубляться в тему заголовков безопасности, изучите известные угрозы в интернете и причины, по которым вам может понадобиться использовать эти заголовки.
Защитите свой сайт от уязвимостей внедрения кода.
Уязвимости внедрения возникают, когда ненадежные данные, обрабатываемые вашим приложением, могут повлиять на его поведение и, как правило, привести к выполнению скриптов, управляемых злоумышленником. Наиболее распространенной уязвимостью, вызванной ошибками внедрения, является межсайтовый скриптинг (XSS) в различных его формах, включая отраженный XSS , хранимый XSS , XSS на основе DOM и другие варианты.
Уязвимость XSS обычно предоставляет злоумышленнику полный доступ к пользовательским данным, обрабатываемым приложением, а также к любой другой информации, размещенной в том же веб-источнике .
Традиционные методы защиты от инъекций включают в себя последовательное использование систем автоматического экранирования HTML-шаблонов, избегание использования опасных API JavaScript и надлежащую обработку пользовательских данных путем размещения загружаемых файлов на отдельном домене и очистки контролируемого пользователем HTML-кода.
- Используйте политику безопасности контента (CSP) , чтобы контролировать, какие скрипты могут быть выполнены вашим приложением, и снизить риск внедрения вредоносного кода.
- Используйте доверенные типы (Trusted Types) для обеспечения проверки и очистки данных, передаваемых в опасные JavaScript API.
- Используйте X-Content-Type-Options , чтобы предотвратить неправильное толкование браузером MIME-типов ресурсов вашего веб-сайта, что может привести к выполнению скриптов.
Изолируйте свой сайт от других веб-сайтов.
Открытость сети позволяет веб-сайтам взаимодействовать друг с другом способами, которые могут нарушать ожидания приложения в отношении безопасности. Это включает в себя неожиданные запросы с подтверждением подлинности или внедрение данных из другого приложения в документ злоумышленника, что позволяет злоумышленнику изменять или читать данные приложения.
К распространенным уязвимостям, подрывающим веб-изоляцию, относятся кликджекинг , межсайтовая подделка запросов (CSRF), межсайтовое включение скриптов (XSSI) и различные межсайтовые утечки .
- Используйте X-Frame-Options , чтобы предотвратить встраивание ваших документов вредоносными веб-сайтами.
- Используйте политику доступа к ресурсам из других источников (CORP) , чтобы предотвратить включение ресурсов вашего веб-сайта в ресурсы других веб-сайтов.
- Используйте политику открытия сайтов из разных источников (COOP) , чтобы защитить окна вашего сайта от взаимодействия со стороны вредоносных веб-сайтов.
- Используйте протокол CORS (Cross-Origin Resource Sharing) для контроля доступа к ресурсам вашего веб-сайта из документов, размещенных в разных источниках.
Книга "Post-Spectre Web Development" — отличное чтение, если вас интересуют эти заголовочные файлы.
Создайте мощный веб-сайт безопасно
Уязвимость Spectre делает любые данные, загруженные в одну и ту же группу контекстов просмотра, потенциально доступными для чтения, несмотря на политику ограничения доступа по одному источнику . Браузеры ограничивают функции, которые могут использовать эту уязвимость, за счет специальной среды, называемой « междоменная изоляция ». Благодаря междоменной изоляции можно использовать такие мощные функции, как SharedArrayBuffer .
- Используйте политику встраивания из разных источников (COEP) вместе с COOP для обеспечения изоляции между источниками.
Шифрование трафика на ваш сайт
Проблемы с шифрованием возникают, когда приложение не полностью шифрует данные при передаче, что позволяет злоумышленникам, осуществляющим перехват, узнать о взаимодействии пользователя с приложением.
Недостаточное шифрование может возникнуть в следующих случаях: неиспользование HTTPS, смешанный контент , установка файлов cookie без атрибута Secure (или префикса __Secure ) или нестрогая логика проверки CORS .
- Используйте протокол HTTP Strict Transport Security (HSTS) для стабильной передачи контента по протоколу HTTPS.
Политика безопасности контента (CSP)
Межсайтовый скриптинг (XSS) — это атака, при которой уязвимость на веб-сайте позволяет внедрить и выполнить вредоносный скрипт.
Content-Security-Policy обеспечивает дополнительный уровень защиты от XSS-атак, ограничивая выполнение скриптов на странице.
Рекомендуется включить строгий CSP, используя один из следующих способов:
- Если вы генерируете HTML-страницы на сервере, используйте строгую политику конфиденциальности (CSP) на основе одноразовых чисел (nonce) .
- Если ваш HTML-код должен отображаться статически или кэшироваться, например, если это одностраничное приложение, используйте строгую политику конфиденциальности на основе хешей .
Пример использования: CSP на основе одноразового кода (nonce).
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Рекомендуемые способы применения
1. Используйте строгую CSP на основе nonce {: #nonce-based-csp}
Если вы генерируете HTML-страницы на сервере, используйте строгую политику конфиденциальности (CSP) на основе одноразовых чисел (nonce) .
Для каждого запроса на стороне сервера генерируйте новое значение nonce скрипта и устанавливайте следующий заголовок:
файл конфигурации сервера
Content-Security-Policy: script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
В HTML для загрузки скриптов установите атрибут nonce для всех тегов <script> на одну и ту же строку {RANDOM1} .
index.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>Google Photos — хороший пример строгой политики конфиденциальности на основе одноразовых чисел (nonce). Используйте инструменты разработчика, чтобы посмотреть, как это используется.
2. Используйте строгую CSP на основе хеширования {: #hash-based-csp}
Если ваш HTML-код должен отображаться статически или кэшироваться, например, при разработке одностраничного приложения, используйте строгую политику конфиденциальности на основе хешей .
файл конфигурации сервера
Content-Security-Policy: script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
В HTML для применения политики на основе хеширования вам потребуется встраивать скрипты непосредственно в код, поскольку большинство браузеров не поддерживают хеширование внешних скриптов .
index.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
Для загрузки внешних скриптов ознакомьтесь с разделом «Динамическая загрузка исходных скриптов» в подразделе «Вариант B: Хэш-заголовок ответа CSP» .
CSP Evaluator — это хороший инструмент для оценки вашей CSP, а также хороший пример строгой CSP на основе nonce. Используйте DevTools, чтобы посмотреть, как его использовать.
Поддерживаемые браузеры
Другие важные моменты, касающиеся CSP.
- Директива
frame-ancestorsзащищает ваш сайт от кликджекинга — риска, который возникает, если вы разрешаете ненадежным сайтам встраивать ваш контент. Если вы предпочитаете более простое решение, вы можете использоватьX-Frame-Optionsдля блокировки загрузки, ноframe-ancestorsпредоставляет расширенную конфигурацию, позволяющую разрешать встраивание только с определенных источников. - Возможно, вы использовали CSP (Content Security Policy), чтобы гарантировать загрузку всех ресурсов вашего сайта по протоколу HTTPS . Однако сейчас это стало менее актуальным: большинство браузеров блокируют смешанный контент .
- Также можно настроить CSP в режиме только для создания отчетов .
- Если вы не можете установить CSP в качестве заголовка на стороне сервера, вы также можете установить его в качестве метатега. Обратите внимание, что вы не можете использовать режим только для отчетов для метатегов (хотя это может измениться ).
Узнать больше
Доверенные типы
XSS на основе DOM — это атака, при которой вредоносные данные передаются в приемник, поддерживающий динамическое выполнение кода, например, с помощью eval() или .innerHTML .
Доверенные типы предоставляют инструменты для написания, проверки безопасности и поддержки приложений, защищенных от DOM XSS. Их можно включить через CSP , и они делают JavaScript-код безопасным по умолчанию, ограничивая опасные веб-API возможностью приема только специального объекта — доверенного типа.
Для создания таких объектов можно определить политики безопасности, которые гарантируют последовательное применение правил безопасности (таких как экранирование или очистка) до записи данных в DOM. В этом случае эти политики являются единственными местами в коде, которые потенциально могут привести к DOM XSS-атакам.
Примеры использования
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
Рекомендуемые способы применения
Внедрение протокола CSP и заголовка Trusted Types для опасных DOM-приемников:
Content-Security-Policy: require-trusted-types-for 'script'В настоящее время единственным допустимым значением для директивы
require-trusted-types-forявляется'script'.Разумеется, вы можете комбинировать доверенные типы с другими директивами CSP:
Объединение CSP на основе одноразовых чисел, описанного выше, с доверенными типами:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>Примечание:</b> Вы можете ограничить количество разрешенных имен политик доверенных типов, установив дополнительную директиву <code>trusted-types</code> (например, <code>trusted-types myPolicy</code>). Однако это не является обязательным требованием. </aside>
Определите политику
Политика:
// Feature detection if (window.trustedTypes && trustedTypes.createPolicy) { // Name and create a policy const policy = trustedTypes.createPolicy('escapePolicy', { createHTML: str => { return str.replace(/\/g, '>'); } }); }
Примените политику
При записи данных в DOM используйте эту политику:
// Assignment of raw strings are blocked by Trusted Types. el.innerHTML = 'some string'; // This throws an exception.</p> <p>// Assignment of Trusted Types is accepted safely. const escaped = policy.createHTML('<img src="x" onerror="alert(1)">'); el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
При использовании
require-trusted-types-for 'script', использование доверенного типа является обязательным. Использование любого опасного DOM API со строкой приведет к ошибке.
Поддерживаемые браузеры
Узнать больше
- Предотвратите уязвимости межсайтового скриптинга на основе DOM с помощью Trusted Types.
- CSP: require-trusted-types-for - HTTP | MDN
- CSP: доверенные типы - HTTP | MDN
- Демонстрация Trusted Types — откройте инспектор инструментов разработчика и посмотрите, что происходит.
X-Content-Type-Options
Когда вредоносный HTML-документ загружается с вашего домена (например, если изображение, загруженное в фотосервис, содержит допустимую HTML-разметку), некоторые браузеры будут рассматривать его как активный документ и позволять ему выполнять скрипты в контексте приложения, что приведет к уязвимости межсайтового скриптинга .
X-Content-Type-Options: nosniff предотвращает это, сообщая браузеру, что MIME-тип, указанный в заголовке Content-Type для данного ответа, является правильным. Этот заголовок рекомендуется использовать для всех ваших ресурсов .
Пример использования
X-Content-Type-Options: nosniff
Рекомендуемые способы применения
Рекомендуется использовать X-Content-Type-Options: nosniff для всех ресурсов, предоставляемых вашим сервером, вместе с правильным заголовком Content-Type .
Примеры заголовков, отправляемых вместе с HTML-документом.
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
Поддерживаемые браузеры
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
Узнать больше
X-Frame-Options
Если вредоносный веб-сайт может встроить ваш сайт в iframe, это может позволить злоумышленникам вызывать непредусмотренные действия пользователя с помощью кликджекинга . Кроме того, в некоторых случаях атаки типа Spectre дают вредоносным веб-сайтам возможность узнать содержимое встроенного документа.
X-Frame-Options указывает, разрешается ли браузеру отображать страницу в <frame> , <iframe> , <embed> или <object> . Всем документам рекомендуется отправлять этот заголовок, чтобы указать, разрешается ли их встраивание в другие документы.
Пример использования
X-Frame-Options: DENY
Рекомендуемые способы применения
Для всех документов, не предназначенных для встраивания, следует использовать заголовок X-Frame-Options .
В этой демонстрации вы можете проверить, как следующие настройки влияют на загрузку iframe. Измените значение в выпадающем меню X-Frame-Options и нажмите кнопку «Перезагрузить iframe» .
Защищает ваш веб-сайт от встраивания другими веб-сайтами.
Отрицаем внедрение данных в другие документы.
X-Frame-Options: DENYЗащищает ваш веб-сайт от встраивания с сайтов других доменов.
Разрешить встраивание только документов того же источника.
X-Frame-Options: SAMEORIGINПоддерживаемые браузеры
Узнать больше
Политика межрегионального доступа к ресурсам (CORP)
Злоумышленник может внедрять ресурсы из другого источника, например, с вашего сайта, чтобы получить информацию о них, используя уязвимости межсайтовых соединений (XSS) .
Заголовок Cross-Origin-Resource-Policy снижает этот риск, указывая набор веб-сайтов, с которых может быть загружен данный ресурс. Заголовок принимает одно из трех значений: same-origin , same-site и cross-origin . Всем ресурсам рекомендуется отправлять этот заголовок, чтобы указать, разрешают ли они загрузку с других веб-сайтов.
Пример использования
Cross-Origin-Resource-Policy: same-origin
Рекомендуемые способы применения
Рекомендуется, чтобы все ресурсы передавались с одним из следующих трех заголовков.
В этом демонстрационном примере вы можете проверить, как следующие настройки влияют на загрузку ресурсов в среде с Cross-Origin-Embedder-Policy: require-corp . Измените значение в раскрывающемся меню Cross-Origin-Resource-Policy и нажмите кнопку «Перезагрузить iframe» или «Перезагрузить изображение» , чтобы увидеть результат.
Разрешить загрузку ресурсов cross-origin
Рекомендуется, чтобы сервисы, подобные CDN, применяли cross-origin к ресурсам (поскольку они обычно загружаются страницами из других источников), если только они уже не обслуживаются через CORS , который имеет аналогичный эффект.
Cross-Origin-Resource-Policy: cross-origin Ограничьте загрузку ресурсов из same-origin
same-origin следует применять к ресурсам, предназначенным для загрузки только страницами с тем же источником. Это следует применять к ресурсам, содержащим конфиденциальную информацию о пользователе, или к ответам API, которые предназначены для вызова только с того же источника.
Имейте в виду, что ресурсы с этим заголовком по-прежнему могут загружаться напрямую, например, при переходе по URL-адресу в новом окне браузера. Политика межсайтовой защиты ресурсов (Cross-Origin Resource Policy) защищает ресурс только от встраивания другими веб-сайтами.
Cross-Origin-Resource-Policy: same-origin Ограничьте загрузку ресурсов с same-site
Рекомендуется применять same-site к ресурсам, аналогичным описанным выше, но предназначенным для загрузки другими поддоменами вашего сайта.
Cross-Origin-Resource-Policy: same-siteПоддерживаемые браузеры
Узнать больше
Политика открытия межстрановых соединений (COOP)
Веб-сайт злоумышленника может открывать другой сайт во всплывающем окне, чтобы получить информацию о нём, используя уязвимости межсайтовых утечек (XSS) . В некоторых случаях это также может позволить использовать атаки по побочным каналам, основанные на уязвимости Spectre .
Заголовок Cross-Origin-Opener-Policy позволяет документу изолироваться от окон, открываемых из других источников через window.open() или ссылку с target="_blank" без rel="noopener" . В результате любой пользователь, открывающий документ из другого источника, не будет иметь на него ссылки и не сможет с ним взаимодействовать.
Пример использования
Cross-Origin-Opener-Policy: same-origin-allow-popups
Рекомендуемые способы применения
В этой демонстрации вы можете проверить, как следующие настройки влияют на взаимодействие с всплывающим окном, открываемым из другого источника. Измените параметры в раскрывающемся меню Cross-Origin-Opener-Policy как для документа, так и для всплывающего окна, нажмите кнопку « Открыть всплывающее окно», а затем нажмите «Отправить postMessage», чтобы проверить, действительно ли сообщение доставлено.
Изолировать документ от окон, находящихся в разных источниках.
Установка параметра same-origin изолирует документ от окон документов, находящихся в других источниках.
Cross-Origin-Opener-Policy: same-originИзолируйте документ от окон, расположенных в других источниках, но разрешите всплывающие окна.
Параметр same-origin-allow-popups позволяет документу сохранять ссылку на свои всплывающие окна, если только в COOP не задан параметр same-origin или same-origin-allow-popups . Это означает, что same-origin-allow-popups может защитить документ от ссылок при открытии в виде всплывающего окна, но при этом позволить ему взаимодействовать со своими собственными всплывающими окнами.
Cross-Origin-Opener-Policy: same-origin-allow-popupsРазрешить ссылки на документ в окнах Windows, работающих в разных источниках.
unsafe-none является значением по умолчанию, но вы можете явно указать, что этот документ может быть открыт окном из другого источника с сохранением взаимного доступа.
Cross-Origin-Opener-Policy: unsafe-noneШаблоны отчетов, несовместимые с COOP
Вы можете получать отчеты, даже если COOP блокирует взаимодействие между окнами с API отчетов.
Cross-Origin-Opener-Policy: same-origin; report-to="coop"COOP также поддерживает режим только для отчетов, поэтому вы можете получать отчеты, не блокируя при этом обмен данными между документами из разных источников.
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"Поддерживаемые браузеры
Узнать больше
Междоменный обмен ресурсами (CORS)
В отличие от других элементов этой статьи, протокол CORS (Cross-Origin Resource Sharing) — это не заголовок, а механизм браузера, который запрашивает и разрешает доступ к ресурсам из других источников.
По умолчанию браузеры применяют политику одного источника (Same-origin policy) , чтобы предотвратить доступ веб-страницы к ресурсам из других источников. Например, когда загружается изображение из другого источника, даже если оно отображается на веб-странице визуально, JavaScript на странице не имеет доступа к данным изображения. Поставщик ресурсов может ослабить ограничения и разрешить другим веб-сайтам читать ресурс, включив CORS.
Пример использования
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
Прежде чем рассматривать настройку CORS, полезно понять разницу между типами запросов. В зависимости от деталей запроса, он будет классифицирован как простой запрос или как предварительный запрос .
Критерии для простой просьбы:
- Метод —
GET,HEADилиPOST. - Пользовательские заголовки включают только
Accept,Accept-Language,Content-LanguageиContent-Type. -
Content-Typeможет бытьapplication/x-www-form-urlencoded,multipart/form-dataилиtext/plain.
Все остальные запросы классифицируются как предварительные. Для получения более подробной информации см. статью «Cross-Origin Resource Sharing (CORS) - HTTP | MDN» .
Рекомендуемые способы применения
Простая просьба
Когда запрос соответствует простым критериям запроса, браузер отправляет междоменный запрос с заголовком Origin , указывающим на источник запроса.
Пример заголовка запроса
Get / HTTP/1.1 Origin: https://example.com
Пример заголовка ответа
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://example.comуказывает, чтоhttps://example.comможет получить доступ к содержимому ответа. Ресурсы, предназначенные для чтения любым сайтом, могут установить этот заголовок в значение*, в этом случае браузеру потребуется только отправить запрос без учетных данных .-
Access-Control-Allow-Credentials: trueуказывает, что запросы, содержащие учетные данные (cookie), разрешают загрузку ресурса. В противном случае аутентифицированные запросы будут отклонены, даже если источник запроса указан в заголовкеAccess-Control-Allow-Origin.
В этой демонстрации вы можете попробовать, как простой запрос влияет на загрузку ресурсов в среде с Cross-Origin-Embedder-Policy: require-corp . Установите флажок Cross-Origin Resource Sharing и нажмите кнопку Reload the image , чтобы увидеть эффект.
Предварительно обработанные запросы
Предварительный запрос предваряется запросом OPTIONS для проверки разрешения на отправку последующего запроса.
Пример заголовка запроса
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
Access-Control-Request-Method: POSTпозволяет отправлять следующие запросы с использованием методаPOST.-
Access-Control-Request-Headers: X-PINGOTHER, Content-Typeпозволяют запрашивающей стороне установить заголовки HTTPX-PINGOTHERиContent-Typeв последующем запросе.
Примеры заголовков ответа
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
Access-Control-Allow-Methods: POST, GET, OPTIONSуказывает, что последующие запросы могут выполняться с использованием методовPOST,GETиOPTIONS.-
Access-Control-Allow-Headers: X-PINGOTHER, Content-Typeуказывают, что последующие запросы могут включать заголовкиX-PINGOTHERиContent-Type. -
Access-Control-Max-Age: 86400указывает, что результат предварительного запроса может храниться в кэше в течение 86400 секунд.
Поддерживаемые браузеры
Узнать больше
Политика внедрения перекрестного происхождения (COEP)
Чтобы уменьшить вероятность кражи междоменных ресурсов при атаках с использованием уязвимости Spectre , такие функции, как SharedArrayBuffer или performance.measureUserAgentSpecificMemory() по умолчанию отключены.
Cross-Origin-Embedder-Policy: require-corp предотвращает загрузку ресурсов из разных источников, таких как изображения, скрипты, таблицы стилей, iframe и другие, документами и рабочими процессами, если эти ресурсы явно не настроены на загрузку через заголовки CORS или CORP . COEP можно комбинировать с Cross-Origin-Opener-Policy , чтобы включить изоляцию документа от других источников .
Используйте Cross-Origin-Embedder-Policy: require-corp если хотите включить междоменную изоляцию для вашего документа.
Пример использования
Cross-Origin-Embedder-Policy: require-corp
Примеры использования
Заголовок COEP принимает одно значение require-corp . Отправляя этот заголовок, вы можете указать браузеру блокировать загрузку ресурсов, которые не дали согласия на использование CORS или CORP .
В этой демонстрации вы можете попробовать, как следующие настройки влияют на загрузку ресурсов. Измените параметры в раскрывающемся меню Cross-Origin-Embedder-Policy , в раскрывающемся меню Cross-Origin-Resource-Policy , установите флажок « Только отчет» и т.д., чтобы увидеть, как они влияют на загрузку ресурсов. Также откройте демонстрационный пример конечной точки отчетности , чтобы проверить, отображаются ли заблокированные ресурсы.
Включить междоменную изоляцию
Включите междоменную изоляцию , отправив Cross-Origin-Embedder-Policy: require-corp вместе с Cross-Origin-Opener-Policy: same-origin .
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
Сообщайте о ресурсах, несовместимых с COEP.
С помощью API для создания отчетов вы можете получать отчеты о заблокированных ресурсах, вызванных COEP.
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"COEP также поддерживает режим только для отчетов, поэтому вы можете получать отчеты, не блокируя при этом загрузку ресурсов.
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"Поддерживаемые браузеры
Узнать больше
HTTP Strict Transport Security (HSTS)
Передача данных по обычному HTTP-соединению не шифруется, что делает передаваемые данные доступными для злоумышленников, осуществляющих прослушивание на сетевом уровне.
Заголовок Strict-Transport-Security сообщает браузеру, что он никогда не должен загружать сайт по протоколу HTTP, а вместо этого должен использовать HTTPS. После установки этого заголовка браузер будет использовать HTTPS вместо HTTP для доступа к домену без перенаправления в течение времени, указанного в заголовке.
Пример использования
Strict-Transport-Security: max-age=31536000
Рекомендуемые способы применения
Все веб-сайты, переходящие с HTTP на HTTPS, должны отвечать заголовком Strict-Transport-Security при получении запроса по протоколу HTTP.
Strict-Transport-Security: max-age=31536000