百度要求发布者添加Nosniff响应头
百度向Chrome发布了安全更新,并要求Web开发人员提供nosniff响应标头,以帮助防止通过Web浏览器进行黑客攻击。Chrome更新的功能Chrome已更新至第67版。站点隔离是一种防止攻击站点访问者浏览器的方法。因此,恶意网站会发现从其他网站窃取数据变得更加困难,即使它可能会破坏其自身流程中的某些规则。
百度向Chrome发布了安全更新,并要求Web开发人员提供nosniff响应标头,以帮助防止通过Web浏览器进行黑客攻击。如果您是SEO,Web开发人员,Web设计人员或网站发布者,则此问题非常重要。
安全更新为何重要攻击(Spectre& Meltdown)利用访问者设备中的漏洞来窃取密码等敏感信息。这会出现用户体验问题。
Chrome更新的功能Chrome已更新至第67版。它引入了之前处于测试阶段的功能,称为站点隔离。站点隔离是一种防止攻击站点访问者浏览器的方法。
根据 Chrome的开发者页面:
“网站隔离是Chrome中的一项安全功能,可针对某些类型的安全漏洞提供额外保护。这使得不值得信任的网站更难以访问或窃取其他网站上的帐户信息。
… Site Isolation提供了第二道防线,使这种攻击不太可能成功。它确保来自不同网站的页面始终放入不同的进程,每个进程都在沙箱中运行,该沙箱限制了允许进程执行的操作。它还可以阻止进程从其他站点接收某些类型的敏感数据。因此,恶意网站会发现从其他网站窃取数据变得更加困难,即使它可能会破坏其自身流程中的某些规则。”
百度想要你做什么百度的Chrome团队要求开发人员和发布商做两件事,以帮助Chrome&rsquo的网站隔离功能更有效地工作。
1.检查资源是否以正确的“内容类型”提供服务。响应标题
2.该资源提供了一个nosniff响应标题
这里是百度的开发者页面状态:
对于HTML,JSON和XML资源: 确保为这些资源提供正确的“内容类型”服务。下面列表中的响应标题,以及“X-Content-Type-Options: nosniff”响应标题。这些标头可确保Chrome可以将资源标识为需要保护,而不依赖于资源的内容。
HTML MIME类型– “ text/html” XML MIME类型– “ text/xml&rd;,“ application/xml”,或其子类型以“ + xml” JSON MIME类型–结尾的任何MIME类型; “ text/json”,“ application/json”,或其子类型以“ + json” Nosniff Response Header结尾的任何MIME类型 nosniff响应标头是一种使网站更安全的方法。
安全研究员Scott Helme将其描述为:
“它阻止百度 Chrome和Internet Explorer尝试模仿 - 嗅探响应的内容类型,远离服务器声明的响应。”
Chrome 67现在有一个自动化流程来保护用户免受幽灵和熔毁攻击。但是,百度建议Web开发人员不要依赖这个自动过程,而是要使用nosniff响应头:
清楚地说明“…当'nosniff”标头不存在,Chrome首先查看文件的开头,以确定是否是HTML,XML或JSON,然后再决定是否保护它。如果无法确认,则允许跨站点页面的流程接收响应。这是一种尽力而为的方法,它可以在保留与现有站点的兼容性的同时增加一些有限的保护。我们建议网络开发人员包括“nosniff”和“nosniff”。标题保护自己的资源,避免依赖这个“确认嗅探” 。方法”的
如何添加Nosniff响应标头首先要检查安全标头。 SecurityHeaders.com是一款免费且易于使用的工具,可扫描网站以查看他们是否缺少与安全相关的标题。
如果你需要实现一个nosniff响应头,一种方法是使用htaccess。
nosniff响应头:的Htaccess代码
< IfModule mod_headers.c> 标题设置X-Content-Type-Options nosniff </IfModule>
如何在WordPress上添加Nosniff响应标头如果您使用的是WordPress,则可以使用两个插件来添加几个重要的安全标头,包括nosniff标头。第一个安装了3,000多个安装标题的安全标题。这是一个易于使用的插件,具有Zui少的设置,可以完成一件事并做得很好。
第二个插件称为HTTP Headers,通过1,000多个安装提高安全性。此插件包含更多用于加强安全性的功能,包括设置CSP(Content-Security-Policy)标头,这有助于防止跨站点脚本和点击劫持。
第三个插件有6,000多个安装,易于使用且全面。它叫做HTTP Headers。这个 插件在易用性和全面性之间取得了平衡。用你自己的判断,选择适合自己的东西。
警告:我倾向于使用安装次数Zui多且评级Zui高的插件。但是高安装并不能保证插件没有问题和错误。安装插件时务必小心。
注意:如果您使用的是W3 Total Cache,请确保在更新插件上的设置后清空缓存。否则设置可能不会生效。
外卖:安全响应标头很重要即使百度 Chrome没有要求发布者添加nosniff响应标头,仍然Zui好将该安全响应标头添加到网站。
阅读百度的安全博客文章,在Chrome中使用网站隔离缓解幽灵
Shutterstock的图片,作者修改
CategoryNewsSEO下一篇:搜索引擎战略纽约访谈和会议时间