1
我們在後端API上實現HSTS,並偶然發現了內容安全策略(CSP)頭。該標題告訴瀏覽器從圖像,視頻,樣式表,腳本等資源的哪個位置可以下載。我應該使用Content-Security-Policy HTTP頭作爲後端API嗎?
由於後端API不會真正在瀏覽器中顯示內容,因此設置此標頭的價值是什麼?
A
回答
1
是一種技巧,旨在損害xss攻擊。也就是說,它與服務超媒體相結合是最有用的,它依賴於其他資源的加載。這不完全是我期望使用API的場景。這並不是說你不能使用它。如果真的有在您的答覆沒有互動的內容,沒有什麼可以從服務這個頭抱住你:
Content-Security-Policy: default-src 'none';
往前一步,你能使用CSP作爲某種臨時Intrusion Detection System通過爲了在設置report-uri到取incoming violation reports。這在預期的使用範圍內,但仍然有點便宜。
總之,理論上可以通過很少的努力來提高API的安全性。實際上,這些優勢可能是微不足道的。如果你覺得喜歡,發送這個頭文件應該沒有什麼壞處。你可能會獲得更多的收益。 suppressing MIME-type sniffing,但。
相關問題
- 1. 我應該在公共API中使用UUID作爲資源嗎?
- 2. 基於REST的HTTP API - 我應該使用WCF嗎?
- 3. 在計算ETag時,我應該考慮HTTP響應頭嗎?
- 4. 我應該使用SSL來保護CMS後端嗎?
- 5. 我應該爲每個http請求使用firebase雲功能嗎?
- 6. 我應該在Spring 4應用程序中使用DI作爲Jersey API客戶端嗎?
- 7. 我可以在Ionic中使用Python作爲後端工作嗎
- 8. 我應該編碼HTTP請求標頭嗎?
- 9. 我應該爲APNS HTTP2 API使用不同的證書嗎?
- 10. 我的Pragma HTTP響應頭文件應該設置爲?
- 11. 我應該爲此使用BlazeDS嗎?
- 12. 應該將useragent的值作爲java客戶端的http頭文件
- 13. 我應該爲WCF P2P應用分配一個端口嗎?
- 14. 作爲後端API,聚合物前端
- 15. 我應該使用Application.Lock()嗎?
- 16. 我應該使用Zend_Form嗎?
- 17. 我應該使用Umbraco嗎?
- 18. 我應該使用AJAX嗎?
- 19. 我應該使用Bootstrap嗎?
- 20. 我應該使用memcache嗎?
- 21. 我應該使用cflock嗎?
- 22. 我應該使用AutoreleasePool嗎?
- 23. 我應該使用fieldset嗎?
- 24. 我應該使用Struct嗎?
- 25. 我應該使用[autorelease]嗎?
- 26. 我應該使用NSViewController嗎?
- 27. 我應該使用JAI嗎?
- 28. 我應該使用WebView嗎?
- 29. 我應該使用InnoDB嗎?
- 30. 我應該使用mahout嗎?
沒有用處。你爲什麼想添加這個頭文件? API是_private_,它永遠不會通過瀏覽器訪問。 –
因爲我正在閱讀這個任務,這是有人寫的。既然聽起來很奇怪,我只想確認一下。 –