在request-response中,用户与网站服务器之间发送各种HTTP头部。服务器发送给浏览器的一些HTTP响应头有助于增强网站用户的安全性和隐私。这些头部通常被称为安全头部。它们的范围可以从强制浏览器始终通过https访问您的网站(Strict-Transport-Security)到防止网站用户遭受跨站脚本和点击劫持攻击。您可以使用securityheaders.com检查您的网站的安全头部设置情况。
这些安全头部(或任何HTTP响应头)通常通过服务器配置设置,即nginx配置、Apache配置或类似配置。然而,在某些情况下,比如使用GitHub Pages托管静态网站,开发者对HTTP响应头的控制不太多。在这种情况下,通过HTML本身声明性地添加安全头部的能力会很有帮助。 <meta> HTML标签有助于设置两个这样的安全头部 - Referrer Policy 和 Content Security Policy
使用 <meta name> 设置引用策略
一个常见的使用 <meta> HTML标签的方式是使用name和content属性。HTML标准允许 <meta> 元素具有 name="referrer",这会作为Referrer-Policy头部传递。content属性定义了Referrer-Policy头部的值。例如,
1 | <meta name="referrer" content="no-referrer"> |
将创建HTTP响应头:Referrer-Policy: no-referrer。这将确保您网站的任何访问者,如果他们在您的网站中点击链接,则不会共享访问者的Referrer信息给该链接。因此,访问的链接将不知道用户从哪个先前的URL点击了链接,有助于保护用户的隐私。有一些不同的Referrer-Policy值允许在导航链接或子资源中共享不同级别的信息。
HTML还允许通过以下几种方式设置单个链接的Referrer-Policy
- referrerpolicy attribute
- rel=”noreferrer”.
referrerpolicy属性可以这样使用:
1 | <a href="http://example.com" referrerpolicy="origin"> |
这意味着当用户点击此特定锚点标签时,只会发送当前网站的源信息到 https://example.com。referrerpolicy属性也可以设置在像<img>或<iframe>这样的元素上,以控制它们的Referrer-Policy。
在锚点标签中添加rel="noreferrer"可确保不会发送当前网页的引荐者信息到访问网页。
使用http-equiv设置内容安全策略
使用<meta>标签的另一种方式是使用http-equiv属性而不是name属性。服务器使用http-equiv属性创建各种HTTP响应头。其中一种头部是内容安全策略。内容安全策略(CSP)用于确定页面中加载的内容是否来自受信任的来源。CSP在控制从加载脚本到表单目标设置的各种不同内容方面非常灵活,因此可以保护您的用户免受各种攻击,如点击劫持攻击和跨站脚本攻击。
使用http-equiv添加CSP的方法是:
1 | <meta http-equiv="Content-Security-Policy" content="script-src 'self'; form-action 'none'"> |
上述代码创建了一个等效的HTTP响应头
1 | Content-Security-Policy: "script-src 'self'; form-action 'none';" |
上述示例中的script-src指令确保在<script>元素中加载的URL来自与当前网页相同的来源,并禁止来自其他网站的任何内联脚本或脚本URL。form-action指令确保不允许从当前网页提交表单。这两者都有助于防止跨站脚本攻击。
注意:要注意的一点是使用这种方法,无法为
CSP设置report-uri、frame-ancestors和sandbox指令。如果使用<meta>标签添加了这些指令,则它们将在执行策略之前从策略中移除。
<meta>中的无效安全头部
使用 <meta> 标签添加安全头部的一个问题是开发者通常认为任何HTTP安全响应头都可以通过这种方法添加。这是不正确的,而且往往会导致一种虚假的安全感,因为浏览器会忽略任何无效的安全头部。重要的是要记住,虽然http-equiv有助于定义HTTP响应头,但它是一个枚举属性。因此,它只能帮助传递一组固定的HTTP头部,任何其他使用此方法设置的HTTP头部都将被忽略。
发现了在桌面上访问的网站中有0.08%的网站具有无效的安全头部。因此,总的来说,使用 <meta> 元素提供引用策略和内容安全策略安全头部可以非常有用,并保护您的用户的安全和隐私,但同时也很重要意识到这种方法的局限性。