Web アプリケーションをより安全にする
- X-Frame-Options
- セキュアおよび httpOnly の Cookie
X フレームの設定-オプション
https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
X- Frame-Options は主にクリックジャッキング (クリックジャッキング) を防ぐためのものですクリックジャッキング (クリックジャッキング) は、Web ページ内の一見無害なコンテンツ (ボタンなど) の下に悪意のあるコードを隠す方法であり、ユーザーを誘導する手段ですをクリックします。 X-Frame-Options HTTP ヘッダー フィールドは、送信されるリソースを または
DENY は、Web コンテンツをどのフレームにも埋め込むことができないことを示します
SAMEORIGIN 同一オリジン ポリシー。Web コンテンツは同じドメインの下のフレームに埋め込むことができますが、同じドメインの下にないフレームには埋め込むことはできないと規定されています。 同一オリジン: プロトコル、ドメイン名、ポートがすべて同じである場合でも、IP が異なるドメインにあると見なされます。具体的な状況は次のとおりです。同じ: http://www.example.com/ dir/page.html 比較:
Compared URL | Outcome | Reason |
---|---|---|
http://www.example.com/dir/page2.html | 同源 | 协议主机端口相同 |
http://www.example.com/dir2/other.html | 同源 | 协议主机端口相同 |
http://username:password@www.example.com/dir2/other.html | 同源 | 协议主机端口相同 |
http://www.example.com:81/dir/other.html | 不同源 | 端口不同 |
https://www.example.com/dir/other.html | 不同源 | 协议不同 |
http://en.example.com/dir/other.html | 不同源 | 主机名不同 |
http://example.com/dir/other.html | 不同源 | 主机不同,必须完全匹配 |
http://v2.www.example.com/dir/other.html | 不同源 | 主机不同,必须完全匹配 |
http://www.example.com:80/dir/other.html | Depends | Port explicit. Depends on implementation in browser |
- ALLOW-FROM特定のソースを指定します
サーバー構成
Apache
サイト構成を追加します:
Header always append X-Frame-Options SAMEORIGIN
Nginx
http、サーバー、または場所の構成を追加します
add_header X-Frame-Options SAMEORIGIN;
IIS
サイトの Web.config に追加します
<system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> ...</system.webServer>
HAProxy
フロントエンド、リッスン、またはバックエンド構成に追加します:
rspadd X-Frame-Options:\ SAMEORIGIN
より安全な Cookie
Cookie はブラウザーによってクライアントに保存される小さなテキストです ファイルが使用されますクライアントとサーバー間の相互転送用。 Web サーバーは http ヘッダーの Set-Cookie を指定し、その構造は次のとおりです:
Set-Cookie: name=value[; expires=date][; domain=domain][; path=path][; secure][; httpOnly]
ご覧のとおり、Cookie には主に次のフィールドが含まれています:
- 名前
- 値
- 有効期限
- ドメイン
- path
- secure
- httpOnly
ここでは主に secure について説明しますhttpOnly
httpOnly フラグ
は、JavaScript document.cookie を通じて Cookie にアクセスできないことをブラウザーに伝えるために使用されます。その目的は、クロスサイト スクリプティング攻撃 (XSS) を回避することです。
secure flag
アプリケーションに Https 経由で Cookie を送信するように強制します
PHP Yii2 で Cookie httpOnly と安全性を設定します
Set _csrf
Yii2 yiiwebCookie のデフォルトは httpOnly です。
class Cookie extends \yii\base\Object{ public $name; public $value = ''; public $domain = ''; public $expire = 0; public $path = '/'; public $secure = false; public $httpOnly = true;}
= Html::csrfMetaTags() ?> を使用すると、デフォルトは httpOnly です。これはリクエストを挿入することで変更できます:
In config/main.php
... 'components' => [ 'request' => [ 'csrfCookie' => [ 'httpOnly' => true, 'secure' => SECURE_COOKIE, ], ], ... ] ...
csrfCookie の httpOnly および secure 属性値を挿入します
Generate secure Cookie
$cookies = Yii::$app->response->cookies;$cookies->add(new Cookie([ 'name' => 'accesstoken', 'value' => $accessToken, 'expire' => time() + Token::EXPIRE_TIME, 'secure' => SECURE_COOKIE ]));
Cookie を更新するときは注意してください。セキュリティで保護された属性
$cookies = Yii::$app->request->cookies;if (($cookie = $cookies->get('accesstoken')) !== null) { $cookie->secure = SECURE_COOKIE; // 这里很重要, 不然就会丢失 $cookie->expire = time() + Token::EXPIRE_TIME; Yii::$app->response->cookies->add($cookie);}

ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

AI Hentai Generator
AIヘンタイを無料で生成します。

人気の記事

ホットツール

メモ帳++7.3.1
使いやすく無料のコードエディター

SublimeText3 中国語版
中国語版、とても使いやすい

ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境

ドリームウィーバー CS6
ビジュアル Web 開発ツール

SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)

ホットトピック











LaravelのバックエンドでReactアプリを構築する:パート2、React
