4

这是一个开放式问题,对此我深表歉意。但我认为它很有用,我希望它不会被关闭。

我正在处理一个处理高度敏感内容的网站,我希望尽可能地确保它的安全。

刚才我遇到了X-Frame-OptionsHTTP-Header,我可以用它禁止页面显示在框架内,从而防止对我的页面进行“点击劫持”攻击。

您可能会建议一些参考资料,其中提供了我应该了解的所有安全措施的完整列表(例如 SSL(当然)、HTTP 标头(如Strict-Transport-SecurityX-Content-Security-Policy)、客户端 AES 加密......)?

是否有其他(可能鲜为人知的)安全功能您认为与我相关(例如,是否可以阻止插件、阻止书签、禁止 Opera Mini 等代理浏览器......)?

我希望这个问题的答案将共同产生一个有用的清单,以确保我(和其他人)不会错过任何保护内容的主要安全功能。

4

2 回答 2

2

Open Web Application Security Project Top 10 漏洞文档开始。如果您可以采取适当的措施来避免其中描述的漏洞,那么您将比那里的绝大多数网站更安全。在那之后,可能是时候从安全专家那里获得帮助,进行一些渗透测试,寻求解决更隐蔽的漏洞等。

于 2013-03-08T23:23:38.967 回答
2

对于问题的 HTTP 标头方面,请查看Secure HTTP Headers幻灯片演示文稿和 Mozilla Developer Network保护您的站点文档。

以下是一些特定的 HTTP 响应标头

请注意,不同的浏览器及其版本具有不同的支持级别,因此除了安全和 httponly cookie 之外,您的 IE7 用户可能看不到任何好处。

于 2013-03-09T15:42:06.140 回答