对于最新的稳定版本,请使用 Spring Security 6.5.3spring-doc.cadn.net.cn

安全 HTTP 响应标头

文档的这一部分讨论安全 HTTP 响应标头的一般主题。 有关基于 ServletWebFlux 的应用程序中安全 HTTP 响应头的特定信息,请参阅相关部分。spring-doc.cadn.net.cn

您可以通过多种方式使用 HTTP 响应标头来提高 Web 应用程序的安全性。 本节专门介绍 Spring Security 为其提供显式支持的各种 HTTP 响应标头。 如有必要,您还可以配置 Spring Security 以提供自定义标头spring-doc.cadn.net.cn

默认安全标头

有关如何自定义基于 servletwebflux 的应用程序的默认值,请参阅相关部分。spring-doc.cadn.net.cn

Spring Security 提供了一组与安全相关的默认 HTTP 响应标头,以提供安全的默认值。spring-doc.cadn.net.cn

Spring Security 的默认值是包含以下标头:spring-doc.cadn.net.cn

默认安全 HTTP 响应标头
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 0

Strict-Transport-Security 仅在 HTTPS 请求上添加spring-doc.cadn.net.cn

如果默认值不能满足您的需求,您可以轻松地从这些默认值中删除、修改或添加标头。 有关每个标头的其他详细信息,请参阅相应的部分:spring-doc.cadn.net.cn

缓存控制

有关如何自定义基于 servletwebflux 的应用程序的默认值,请参阅相关部分。spring-doc.cadn.net.cn

Spring Security 的默认设置是禁用缓存以保护用户的内容。spring-doc.cadn.net.cn

如果用户通过身份验证查看敏感信息,然后注销,我们不希望恶意用户能够单击后退按钮来查看敏感信息。 默认发送的缓存控制标头包括:spring-doc.cadn.net.cn

默认缓存控制 HTTP 响应标头
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0

为了默认安全,Spring Security 默认添加这些标头。 但是,如果您的应用程序提供了自己的缓存控制标头,则 Spring Security 会退后。 这允许应用程序确保可以缓存静态资源(例如 CSS 和 JavaScript)。spring-doc.cadn.net.cn

内容类型选项

请参阅相关部分,了解如何自定义基于 servletwebflux 的应用程序的默认值。spring-doc.cadn.net.cn

从历史上看,浏览器(包括 Internet Explorer)会尝试使用内容嗅探来猜测请求的内容类型。 这允许浏览器通过猜测未指定内容类型的资源上的内容类型来改善用户体验。 例如,如果浏览器遇到未指定内容类型的 JavaScript 文件,它将能够猜测内容类型,然后运行它。spring-doc.cadn.net.cn

当允许上传内容时,还应该做许多其他事情(例如仅在不同的域中显示文档、确保设置 Content-Type 标头、清理文档等)。 但是,这些措施超出了 Spring Security 提供的范围。 同样重要的是要指出,在禁用内容嗅探时,您必须指定内容类型才能正常工作。spring-doc.cadn.net.cn

内容嗅探的问题在于,这允许恶意用户使用多语言(即作为多种内容类型有效的文件)来执行 XSS 攻击。 例如,某些网站可能允许用户向网站提交有效的 Postscript 文档并查看它。 恶意用户可能会创建一个 Postscript 文档,该文档也是一个有效的 JavaScript 文件,并使用它执行 XSS 攻击。spring-doc.cadn.net.cn

默认情况下,Spring Security 通过向 HTTP 响应添加以下标头来禁用内容嗅探:spring-doc.cadn.net.cn

nosniff HTTP 响应标头
X-Content-Type-Options: nosniff

HTTP 严格传输安全 (HSTS)

请参阅相关部分,了解如何自定义基于 servletwebflux 的应用程序的默认值。spring-doc.cadn.net.cn

当您输入银行网站时,您是否输入mybank.example.com或者你输入mybank.example.com? 如果您省略https协议,您可能容易受到中间人攻击。 即使网站执行重定向到 mybank.example.com,恶意用户也可以拦截初始 HTTP 请求并纵响应(例如,重定向到 mibank.example.com 并窃取其凭据)。spring-doc.cadn.net.cn

许多用户省略了https协议,这就是创建 HTTP 严格传输安全 (HSTS) 的原因。 一次mybank.example.com被添加为 HSTS 主机,浏览器可以提前知道对 mybank.example.com 的任何请求都应被解释为 mybank.example.com。 这大大降低了发生中间人攻击的可能性。spring-doc.cadn.net.cn

根据RFC6797,HSTS 标头仅注入到 HTTPS 响应中。 要使浏览器确认标头,浏览器必须首先信任签署用于建立连接的 SSL 证书(而不仅仅是 SSL 证书)的 CA。spring-doc.cadn.net.cn

将站点标记为 HSTS 主机的一种方法是将主机预加载到浏览器中。 另一种方法是将Strict-Transport-Security标头。 例如,Spring Security 的默认行为是添加以下标头,该标头指示浏览器将域视为一年的 HSTS 主机(非闰年有 31536000 秒):spring-doc.cadn.net.cn

严格传输安全 HTTP 响应标头
Strict-Transport-Security: max-age=31536000 ; includeSubDomains ; preload

可选的includeSubDomains指令指示浏览器子域(例如secure.mybank.example.com)也应被视为HSTS域。spring-doc.cadn.net.cn

可选的preload指令指示浏览器应将域作为 HSTS 域预加载到浏览器中。 有关 HSTS 预加载的更多详细信息,请参阅 hstspreload.orgspring-doc.cadn.net.cn

HTTP 公钥固定 (HPKP)

为了保持被动,Spring Security 仍然在 servlet 环境中提供对 HPKP 的支持。 但是,由于前面列出的原因,Spring Security 团队不再推荐 HPKP。spring-doc.cadn.net.cn

HTTP 公钥固定 (HPKP) 向 Web 客户端指定将哪个公钥用于某个 Web 服务器,以防止使用伪造证书进行中间人 (MITM) 攻击。 如果使用得当,HPKP 可以添加额外的保护层,防止证书泄露。 然而,由于 HPKP 的复杂性,许多专家不再建议使用它,Chrome 甚至取消了对它的支持。spring-doc.cadn.net.cn

有关不再推荐 HPKP 的原因的其他详细信息,请阅读 HTTP 公钥固定已死吗?正在放弃 HPKPspring-doc.cadn.net.cn

X-Frame-选项

请参阅相关部分,了解如何自定义基于 servletwebflux 的应用程序的默认值。spring-doc.cadn.net.cn

让您的网站添加到框架中可能是一个安全问题。 例如,通过使用巧妙的 CSS 样式,用户可能会被诱骗点击他们不想要的内容。 例如,登录到其银行的用户可能会单击向其他用户授予访问权限的按钮。 这种攻击称为点击劫持spring-doc.cadn.net.cn

处理点击劫持的另一种现代方法是使用内容安全策略 (CSP)。spring-doc.cadn.net.cn

有多种方法可以缓解点击劫持攻击。 例如,为了保护旧版浏览器免受点击劫持攻击,您可以使用断帧代码。 虽然并不完美,但断帧代码是您可以为旧版浏览器做的最好的事情。spring-doc.cadn.net.cn

解决点击劫持问题的更现代方法是使用 X-Frame-Options 标头。 默认情况下,Spring Security 通过使用以下标头来禁用 iframe 中的渲染页面:spring-doc.cadn.net.cn

X-Frame-Options: DENY

X-XSS保护

请参阅相关部分,了解如何为基于 servletwebflux 的应用程序自定义默认值。spring-doc.cadn.net.cn

某些浏览器内置支持过滤掉反射的 XSS 攻击。 该过滤器已在主要浏览器中弃用,当前的 OWASP 建议是显式将标头设置为 0。spring-doc.cadn.net.cn

默认情况下,Spring Security 使用以下标头阻止内容:spring-doc.cadn.net.cn

X-XSS-Protection: 0

内容安全策略 (CSP)

请参阅相关部分,了解如何配置基于 servletwebflux 的应用程序。spring-doc.cadn.net.cn

内容安全策略 (CSP) 是 Web 应用程序可用于缓解内容注入漏洞(例如跨站点脚本 (XSS))的机制。 CSP 是一种声明性策略,它为 Web 应用程序作者提供了一种工具来声明并最终通知客户端(用户代理)Web 应用程序期望从中加载资源的源。spring-doc.cadn.net.cn

内容安全策略并非旨在解决所有内容注入漏洞。 相反,可以使用 CSP 来帮助减少内容注入攻击造成的危害。 作为第一道防线,Web 应用程序作者应验证其输入并对其输出进行编码。spring-doc.cadn.net.cn

Web 应用程序可以通过在响应中包含以下 HTTP 标头之一来使用 CSP:spring-doc.cadn.net.cn

这些标头中的每一个都用作向客户端传递安全策略的机制。 安全策略包含一组安全策略指令,每个指令负责声明特定资源表示的限制。spring-doc.cadn.net.cn

例如,Web 应用程序可以通过在响应中包含以下标头来声明它期望从特定的受信任源加载脚本:spring-doc.cadn.net.cn

内容安全策略示例
Content-Security-Policy: script-src https://trustedscripts.example.com

尝试从其他源加载脚本,而不是在script-src指令被 user-agent 阻止。 此外,如果在安全策略中声明了 report-uri 指令,则 user-agent 将向声明的 URL 报告违规行为。spring-doc.cadn.net.cn

例如,如果 Web 应用程序违反了声明的安全策略,则以下响应标头会指示用户代理将违规报告发送到策略的report-uri命令。spring-doc.cadn.net.cn

带有 report-uri 的内容安全策略
Content-Security-Policy: script-src https://trustedscripts.example.com; report-uri /csp-report-endpoint/

冲突报告是标准 JSON 结构,可由 Web 应用程序自己的 API 或公共托管的 CSP 冲突报告服务(如 report-uri.io/)捕获。spring-doc.cadn.net.cn

Content-Security-Policy-Report-Only标头为 Web 应用程序作者和管理员提供了监视安全策略而不是强制执行安全策略的功能。 此标头通常在试验或开发站点的安全策略时使用。 当策略被视为有效时,可以使用Content-Security-Policyheader 字段。spring-doc.cadn.net.cn

给定以下响应标头,该策略声明可以从两个可能的源之一加载脚本。spring-doc.cadn.net.cn

仅内容安全策略报告
Content-Security-Policy-Report-Only: script-src 'self' https://trustedscripts.example.com; report-uri /csp-report-endpoint/

如果站点违反此策略,请尝试从evil.example.com,则用户代理会向report-uri指令,但仍允许加载违规资源。spring-doc.cadn.net.cn

将内容安全策略应用于 Web 应用程序通常是一项不平凡的工作。 以下资源可以在为您的站点制定有效的安全策略方面提供进一步的帮助:spring-doc.cadn.net.cn

内容安全策略简介spring-doc.cadn.net.cn

CSP 指南 - Mozilla Developer Networkspring-doc.cadn.net.cn

W3C 候选人推荐spring-doc.cadn.net.cn

推荐人政策

请参阅相关部分,了解如何配置基于 servletwebflux 的应用程序。spring-doc.cadn.net.cn

Referrer Policy 是 Web 应用程序可用于管理 referrer 字段的一种机制,其中包含最后一个 用户所在的页面。spring-doc.cadn.net.cn

Spring Security 的方法是使用 Referrer Policy 标头,它提供了不同的策略spring-doc.cadn.net.cn

引荐来源网址策略示例
Referrer-Policy: same-origin

Referrer-Policy 响应标头指示浏览器让目标知道用户之前所在的源。spring-doc.cadn.net.cn

功能策略

请参阅相关部分,了解如何配置基于 servletwebflux 的应用程序。spring-doc.cadn.net.cn

功能策略是一种机制,允许 Web 开发人员有选择地启用、禁用和修改浏览器中某些 API 和 Web 功能的行为。spring-doc.cadn.net.cn

功能策略示例
Feature-Policy: geolocation 'self'

借助功能策略,开发人员可以选择加入一组“策略”,让浏览器对整个网站使用的特定功能强制执行。 这些策略限制站点可以访问哪些 API,或修改浏览器对某些功能的默认行为。spring-doc.cadn.net.cn

权限策略

请参阅相关部分,了解如何配置基于 servletwebflux 的应用程序。spring-doc.cadn.net.cn

权限策略是一种机制,允许 Web 开发人员有选择地启用、禁用和修改浏览器中某些 API 和 Web 功能的行为。spring-doc.cadn.net.cn

权限策略示例
Permissions-Policy: geolocation=(self)

借助权限策略,开发人员可以选择加入一组“策略”,让浏览器对整个网站使用的特定功能强制执行。 这些策略限制站点可以访问哪些 API,或修改浏览器对某些功能的默认行为。spring-doc.cadn.net.cn

清除站点数据

请参阅相关部分,了解如何配置基于 servletwebflux 的应用程序。spring-doc.cadn.net.cn

清除站点数据是一种机制,当 HTTP 响应包含以下标头时,可以通过该机制删除任何浏览器端数据(cookie、本地存储等):spring-doc.cadn.net.cn

Clear-Site-Data: "cache", "cookies", "storage", "executionContexts"

这是注销时执行的不错清理作。spring-doc.cadn.net.cn

自定义标题

请参阅相关部分以了解如何配置基于 servlet 的应用程序。spring-doc.cadn.net.cn

Spring Security 具有可以方便地将更常见的安全标头添加到应用程序的机制。 但是,它还提供了挂钩来添加自定义标头。spring-doc.cadn.net.cn