Google要求发布商添加Nosniff响应标头

Googleè¦æ±åå¸åæ·»å Nosniffååºæ å¤´

Google向Chrome发布了一项安全更新，并要求网络开发人员提供nosniff响应标头，以帮助防止通过网络浏览器进行攻击。如果您是SEO，Web开发人员，Web设计人员或网站发布者，则此问题非常重要。

为什么安全更新很重要

攻击（Spectre＆Meltdown）利用访问者设备中的漏洞窃取密码等敏感信息。这会出现用户体验问题。

Chrome更新的功能

Chrome已更新至第67版。它引入了之前处于测试阶段的功能，称为站点隔离。站点隔离是一种防止攻击站点访问者浏览器的方法。

“网站隔离是Chrome中的一项安全功能，可针对某些类型的安全漏洞提供额外保护。这使得不值得信任的网站更难以从其他网站上的帐户访问或窃取信息。

……站点隔离提供了第二道防线，使这种攻击不太可能成功。它确保来自不同网站的页面始终放入不同的进程，每个进程都在沙箱中运行，该沙箱限制了允许进程执行的操作。它还可以阻止该过程从其他站点接收某些类型的敏感数据。因此，恶意网站会发现从其他网站窃取数据更加困难，即使它可能会破坏其自身流程中的某些规则。“

谷歌希望你做什么

Google的Chrome团队要求开发人员和发布商做两件事，以帮助Chrome的网站隔离功能更有效地工作。

1.检查资源是否使用正确的“Content-Type”响应标头

2.这些资源提供了一个nosniff响应头

以下是Google的开发者页面所述内容：

对于HTML，JSON和XML资源：
确保从下面的列表中使用正确的“Content-Type”响应头提供这些资源，以及“X-Content-Type-Options：nosniff”响应头。这些标头可确保Chrome可以将资源标识为需要保护，而不依赖于资源的内容。

HTML MIME类型 – “text / html”

XML MIME类型 – “text / xml”，“application / xml”或其子类型以“+ xml”结尾的任何MIME类型

JSON MIME类型 – “text / json”，“application / json”或其子类型以“+ json”结尾的任何MIME类型

Nosniff响应标题

nosniff响应标头是一种使网站更安全的方法。

安全研究员Scott Helme描述如下：

“它阻止谷歌Chrome和Internet Explorer试图模仿嗅探响应的内容类型，而不是服务器声明的响应。”

Chrome 67现在有一个自动化过程来保护用户免受幽灵和熔毁攻击。但谷歌建议网络开发人员不要依赖这个自动过程，而是要使用nosniff响应标头清楚说明：

“…当”nosniff“标头不存在时，Chrome会首先查看文件的开头，以确定是否为HTML，XML或JSON，然后再决定是否保护它。如果无法确认，则允许跨站点页面的进程接收响应。这是一种尽力而为的方法，在保留与现有站点的兼容性的同时增加了一些有限的保护。我们建议Web开发人员使用“nosniff”标头来保护他们的资源，避免依赖这种“确认嗅探”的方法。“

如何添加Nosniff响应标头

首先要检查安全标头。SecurityHeaders.com是一款免费且易于使用的工具，可扫描网站以查看它们是否缺少与安全相关的标题。

如果您需要实现nosniff响应头，一种方法是使用htaccess。

nosniff响应头的Htaccess代码：

<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</ IfModule>

如何在WordPress上添加Nosniff响应标头

如果您使用的是WordPress，则可以使用两个插件来添加几个重要的安全标头，包括nosniff标头。第一个安装了3,000多个安装标题的安全标题。这是一个易于使用的插件，具有最少的设置，可以完成一件事并且做得很好。

第二个插件称为HTTP Headers，通过1,000多个安装提高安全性。此插件包含更多用于加强安全性的功能，包括设置CSP（Content-Security-Policy）标头，这有助于防止跨站点脚本和点击劫持。

第三个插件有6,000多个安装，易于使用且全面。它被称为HTTP标头。这个插件在易用性和全面性之间取得平衡。根据自己的判断，选择适合自己的方法。

警告：我倾向于使用安装次数最多且评级最高的插件。但是高安装并不能保证插件没有问题和缺陷。安装插件时务必小心。

注意：如果您使用的是W3 Total Cache，请确保在更新插件上的设置后清空缓存。否则设置可能不会生效。

外卖：安全响应标题很重要

即使谷歌浏览器没有要求发布商添加nosniff响应标头，但将该安全响应标头和其他安全响应标头添加到网站仍然是个好主意。

原创文章，作者：ItWorker，如若转载，请注明出处：https://blog.ytso.com/261278.html