2019-M01 - Security Header 在之前的經驗中 有不少研究、開發人員對於網頁服務中的一些安全性設定不是很了解 在這篇[0] 文章中有幫忙整理了一些 對於網頁服務需要設定的 header X- 系列的 HTTP Header 在 MDN[1] 被描述成 - 客製化的 HTTP Header - 2012 年的 RFC6648 標記成 DEPRECATING (不過現在大家也是很常用) - IANA[2] 列出各種標準的 HTTP header 以及相對的 RFC 編號 (真的很多...) 不過還是有不少瀏覽器會根據 X- 的 HTTP header 提供額外的功能 像是 - X-XSS-Protection 針對 XSS 做額外的防護 - X-Frame-Options 針對 iFrame 做額外的設定 - XSRF-HEADER 針對 CSP (Cotent Security Policy) 做額外設定 - Referrer-Policy 不過在使用時 強烈建議要考慮各種瀏覽器、版本之間的支援程度 像是常用的 CSP 設定 不同的參數在不同瀏覽器都有不一樣支援程度 可以參考 MDN[3] 的清單就可以發現 base-uri 雖然在大多數瀏覽器都支援 但是在 IE 跟 Edge 反而就不支援了 [0]: https://dev.to/shosta/security-headers-to-use-on-your-webserver-3id5 [1]: https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers [2]: https://www.iana.org/assignments/message-headers/message-headers.xhtml [3]: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.224.240 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1554446332.A.DE3.html