对客户端请求进行防护,建议根据需要开启相关模块及配置防护参数。
1、请求类型防护
设置禁止的请求类型,建议禁止:PATCH、TRACE、其他
多数情况下,我们只会用到get、post、head、options四种请求类型
2、XSS跨站防护
给Cookie设置HttpOnly属性,防止通过JavaScript脚本读取Cookie信息,有效的防止XSS攻击。
黑客窃取Cookie信息,一般都是通过JavaScript脚本读取Cookie信息,再发送到黑客网站,因此禁止JavaScript脚本读取Cookie信息是最好的解决办法。
注意:开启后部分网站可能无法登录后台,请谨慎开启。 |
3、请求数据防护
记录请求数据,以便分析安全威胁。解决WebServer无法记录POST数据的难题。
4、X-Frame-Options防护
设置网页是否允许被Frame框架嵌套。
有三个选项:DENY(禁止嵌套)、SAMEORUGIN(允许站内嵌套)、ALLOW-FROM(允许指定域名嵌套)
DENY(禁止嵌套):任何情况下都不能嵌套,包含嵌套站内文件。
SAMEORUGIN(允许站内嵌套):只允许相同域名下的网页嵌套,必须是相同域名(带www和不带www是不同的域名)。
ALLOW-FROM(允许指定域名嵌套):只允许指定的域名嵌套网页。
5、恶意内容防护
设置禁止提交到服务器的非法内容。尤其适合论坛、留言板、博客等网站,杜绝非法信息流入。
请求类型建议选择:POST
可以点击“下载关键词”从护卫神云端下载恶意关键词词库。