什么是http

 

所以我一直在用HTTP来玩弄telnet的乐趣(例如,只需输入“telnet google.com 80”,并随意放入具有不同头部的GET和POST等),但我遇到过谷歌的东西。 com发送的头文件中我不知道。

我一直在寻找通过http://www.w3.org/Protocols/rfc2616/rfc2616.html,并没有发现这个谷歌似乎正在喷出的特定http头的定义: 

GET / HTTP/1.1

HTTP/1.1 200 OK
Date: Wed, 01 Feb 2012 03:42:24 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com
Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

1000

任何人都知道“X-XSS-Protection”是什么?

X-XSS-Protection是Internet Explorer 8(及更新版本)可理解的HTTP标头。 这个头让域可以打开和关闭IE8的“XSS过滤器”,从而防止某些类别的XSS攻击。 IE8默认启用了过滤器,但服务器可以通过设置关闭 

   X-XSS-Protection: 0

另见http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header。 ASPX

  • X-XSS-Protection: 1 :强制XSS保护(如果XSS保护被用户禁用,则有用)

  • X-XSS-Protection: 0 :禁用XSS保护

  • 如果检测到潜在的XSS反射(=非永久性)攻击,令牌mode=block将阻止浏览器(IE8 +和Webkit浏览器)呈现页面(而不是消毒)。

    • /! Warning, mode=block会在IE8中创建一个漏洞(更多信息)。

    更多信息:http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx和http://blog.veracode.com / 2014/03 /准则换设定安全 - 页眉/

    此响应标头可用于配置用户代理的内置反射XSS保护。 目前,只有微软的Internet Explorer,谷歌浏览器和Safari(WebKit)支持这个头文件。

    Internet Explorer 8包含一项新功能,可帮助防止反映的跨站点脚本攻击(称为XSS筛选器) 。 此筛选器默认在Internet,受信任和受限安全区域中运行。 本地Intranet区域页面可以使用相同的标题选择加入保护。

    关于您在问题中发布的标题,

    标题X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; mode=block启用XSS过滤器。 在检测到XSS攻击时,浏览器将阻止呈现页面,而不是对页面进行清理。

    在2010年3月,我们在X-XSS-Protection头文件mode = block中添加了IE8对新令牌的支持。 

    X-XSS-Protection: 1; mode=block

    当此令牌存在时,如果检测到潜在的XSS反射攻击,则Internet Explorer将阻止呈现页面。 与其试图净化页面以手术去除XSS攻击,IE将仅渲染“#”。

    Internet Explorer识别可能的跨站点脚本攻击。 它记录事件并向用户显示适当的消息。 MSDN文章描述了这个标题的工作原理。

    如何在IE中使用此过滤器

    有关本文的更多信息,请访问https://blogs.msdn.microsoft.com/ie/2008/07/02/ie8-security-part-iv-the-xss-filter/

    XSS过滤器作为IE8组件运行,可以浏览流经浏览器的所有请求/响应。 当过滤器在跨站点请求中发现可能的XSS时,如果它在服务器的响应中重播,它会识别并防止攻击者发起攻击。 用户不会遇到他们无法回答的问题 - IE只是阻止恶意脚本执行。

    使用新的XSS筛选器时,遇到类型1 XSS攻击的IE8 Beta 2用户将看到类似以下内容的通知:

    IE8 XSS攻击通知

    该页面已被修改,并且XSS攻击被阻止。

    在这种情况下,XSS过滤器已在URL中识别出跨站脚本攻击。 由于已识别的脚本被重新播放回响应页面,它已经完成了这次攻击。 通过这种方式,过滤器无需修改对服务器的初始请求或阻止整个响应即可生效。

    当Windows Internet Explorer 8检测到并缓解跨站点脚本(XSS)攻击时,会记录跨站点脚本筛选器事件。 当一个网站(通常是恶意网站)将JavaScript代码注入(添加)到另一个网站的合法请求中时,就会发生跨站点脚本攻击。 原始请求通常是无辜的,例如指向另一个页面的链接或提供公共服务(例如留言簿)的通用网关接口(CGI)脚本。 注入的脚本通常尝试访问第二个网站不打算允许的特权信息或服务。 回应或请求通常会将结果反馈给恶意网站。 XSS筛选器是Internet Explorer 8的新增功能,可检测URL和HTTP POST请求中的JavaScript。 如果检测到JavaScript,则XSS过滤器将搜索反射证据,即如果攻击请求未提交,则会返回到攻击网站的信息。 如果检测到反射,则XSS过滤器将清理原始请求,以便不能执行其他JavaScript。 然后,XSS筛选器将该操作记录为跨站点脚本筛选器事件。 下图显示了为防止跨站点脚本攻击而修改的站点示例。

    资料来源:https://msdn.microsoft.com/en-us/library/dd565647(v=vs.85).aspx

    Web开发人员可能希望禁用其内容的过滤器。 他们可以通过设置HTTP标头来完成这项工作: 

    X-XSS-Protection: 0

    更多关于安全头文件,

  • 设置安全头的准则

  • 安全HTTP头 - X-XSS-PROTECTION

  • MDN Docs X-XSS-Protection

    • 链接地址: http://www.djcxy.com/p/7927.html

    上一篇: What is the http

    下一篇: After a POST, should I do a 302 or a 303 redirect?