这是一个开放式的问题,我为此道歉。但我认为它很有用,我希望它不会被关闭。
我正在处理一个处理高度敏感内容的网站,我希望尽可能保证安全。
刚才我遇到了X-Frame-Options HTTP-Header,我可以使用disallow the page to be shown inside a frame来阻止"clickjacking"对我的网页的攻击。</ p>
是否有一些您可能建议的参考文献,其中提供了我应该了解的所有安全措施的完整列表(例如SSL(当然),HTTP {Header,如Strict-Transport-Security和X-Content-Security-Policy,客户端-Side AES-Encryption,...)?
是否还有其他(可能不太知名的)安全功能,您认为我需要考虑这些功能(例如,是否可以阻止插件,防止使用bookmarklet,禁止像Opera Mini这样的代理浏览器,......)?
我希望这个问题的答案将共同导致一个有用的清单,以确保我(和其他人)不会遗漏任何保护内容的主要安全功能。
答案 0 :(得分:2)
从Open Web Application Security Project Top 10 vulnerabilities document开始。如果您可以采取适当的措施来避免那里描述的漏洞,那么您将比绝大多数站点更安全。在那之后,可能是时候从安全专家那里获得帮助,进行一些渗透测试,寻找解决更加模糊的漏洞等等。
答案 1 :(得分:2)
对于问题的HTTP标头方面,请查看Secure HTTP Headers slideshare演示文稿和Mozilla开发人员网络Securing your site文档。
以下是一些特定的HTTP响应标头
请注意,不同的浏览器及其版本具有不同的支持级别,因此除了安全和httponly cookie之外,您的IE7用户可能看不到任何好处。