您又累又饿,但您需要在失控之前保护好您的网站!你很幸运,我也很累,也很饿,但现在不再了!通过我的 12 步计划,您也可以安全且吃饱!
COEP , COOP , CORP , & COPE
这 4 个标头将帮助您应对 ShaÆSeer 对您的全球防御的攻击。
没有人知道它们是如何工作的,或者它们是做什么的。我用一种叫做温酒精的人工智能对它们进行了测试,这就是人工智能在晚上关闭之前的反应。
Cross-Origin-Embedder-Policy
帮助您控制将其他来源嵌入到您自己的来源中。没有人知道这意味着什么。
Cross-Origin-Opener-Policy
当您导航到或从具有标题的给定源导航时,创建新的浏览上下文。没有人知道这意味着什么。
Cross-Origin-Resource-Policy
我什至都不知道了。甚至不在同一规格中。也没有人知道这是做什么的。
COPE
Cope 是我在阅读 HTTP 规范时需要做的事情,但除此之外并不作为标头存在。
补充阅读
MDN 关于 CORP 的文章是存在的,但 MDN 通常是错误的。因此请阅读规格。然后5分钟后放弃。然后复制以下内容并假装您知道自己在做什么:
Cross-Origin-Embedder-Policy: 'require-corp' Cross-Origin-Opener-Policy: 'same-origin' Cross-Origin-Resource-Policy: 'same-origin'
Permissions-Policy
不允许说“我不需要任何权限”,我不会把每一项都打出来,自己做。您甚至找不到它们的正确列表。可怕的 1/10 标题。
Permissions-Policy: payment=(), picture-in-picture=()
Content-Security-Policy
著名的那个。尝试找到此标头的所有额外选项,享受乐趣。
Content-Security-Policy: default-src 'none'; frame-ancestors 'none'; form-action 'none'; require-trusted-types-for 'script'; trusted-types; disown-opener; sandbox; base-uri 'none'
不,你不能像那样包装标头值,不要这样做。
Strict-Transport-Security
HSTS也被称为将您自己锁定在网站之外的第 1 种方法,它有助于强制通过HTTPS访问您的网站
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload将使您的网站不再使用HTTP !严重地。
X-Content-Type-Options
就像我的前任一样,没有太多信任。如果您想要更多信任,请告诉客户信任您并遵循您的Content-Type标头,并且不要试图变得聪明。
X-Content-Type-Options: nosniff
原文: https://posts.summerti.me/http-headers-of-note-for-synergizing-into-a-cohesive-security-stratagem/