X-Content-Type-Options: nosniff
Gửi header
X-Content-Type-Options: nosniff.
Bạn nên gửi header X-Content-Type-Options: nosniff để ngăn chặn các cuộc tấn công lừa kiểu MIME trong ứng dụng web của mình. Header này cho trình duyệt biết không được ghi đè kiểu nội dung của phản hồi ngay cả khi nó không phải là kiểu mong đợi. Ví dụ, nếu một kẻ tấn công tải lên được một tệp HTML với phần mở rộng được nguỵ trang như .jpg, máy chủ vẫn có thể gửi header kiểu nội dung chính xác cho tệp HTML. Tuy nhiên, một số trình duyệt có thể bỏ qua header này và cố gắng "đoán" kiểu nội dung dựa trên nội dung thực tế của tệp, dẫn đến một cuộc tấn công chéo trang (XSS) tiềm ẩn.
Bằng cách gửi header X-Content-Type-Options: nosniff, bạn yêu cầu trình duyệt luôn tin tưởng kiểu nội dung được cung cấp và không cố gắng đoán kiểu nội dung. Điều này giúp giảm thiểu nguy cơ kẻ tấn công lợi dụng sự không khớp kiểu nội dung để phân phối nội dung độc hại cho người dùng vô tình.
X-Frame-Options: Deny
Gửi header
X-Frame-Options: deny.
Header X-Frame-Options ngăn chặn trang web được hiển thị trong iframe, đây là phương thức thường được sử dụng trong các cuộc tấn công clickjacking. Bằng cách đặt giá trị của header này thành deny, bạn đang yêu cầu trình duyệt không hiển thị trang trong bất kỳ iframe nào. Điều này giúp ngăn ngừa trang web bị nhúng trong trang web của kẻ tấn công và giảm nguy cơ các cuộc tấn công clickjacking.
Chính Sách Bảo Mật Nội Dung
Gửi header
Content-Security-Policy: default-src 'none'.
Việc gửi header Content-Security-Policy: default-src 'none' là một phương pháp hay về bảo mật giúp ngăn chặn các cuộc tấn công chéo trang (XSS). Header này cho trình duyệt biết không được phép tải bất kỳ tài nguyên nào từ các nguồn bên ngoài, như các tập lệnh, tờ khai kiểu, hoặc hình ảnh. Nó chỉ cho phép các tài nguyên được liệt kê rõ ràng trong header CSP, chẳng hạn như các tập lệnh hoặc tờ khai kiểu được lưu trữ trên miền của riêng bạn. Điều này có thể giúp ngăn chặn những kẻ độc hại chèn mã vào các trang web của bạn thông qua các cuộc tấn công XSS, vì trình duyệt sẽ không thực thi bất kỳ tập lệnh nào hoặc tải bất kỳ tài nguyên nào không được chính sách CSP cho phép rõ ràng.
Loại Bỏ Dấu Vết
Loại bỏ các header nhận dạng (ví dụ: x-powered-by, v.v.) khỏi yêu cầu HTTP.
Các header nhận dạng có thể được sử dụng để xác định máy chủ web và phiên bản của nó. Thông tin này có thể được các kẻ tấn công sử dụng để xác định các lỗ hổng trong máy chủ web và khai thác chúng.
Ép Buộc Kiểu Nội Dung
Luôn ép buộc header
Content-Typeđược đặt thành kiểu MIME có liên quan.
Việc ép buộc kiểu nội dung để bảo mật API là rất quan trọng vì nó đảm bảo rằng máy khách và máy chủ đang giao tiếp theo định dạng được thỏa thuận chung cho dữ liệu được truyền. Điều này có thể ngăn chặn các cuộc tấn công như giả mạo nội dung hoặc chèn, trong đó kẻ tấn công cố gắng lừa máy chủ xử lý nội dung độc hại bằng cách giả vờ rằng nó có kiểu nội dung khác. Bằng cách ép buộc kiểu nội dung thành một định dạng cụ thể, máy chủ có thể xác nhận rằng dữ liệu nó nhận được là hợp pháp và an toàn để xử lý. Ngoài ra, việc ép buộc kiểu nội dung có thể giúp ngăn chặn một số loại lỗi phân tích mà kẻ tấn công có thể khai thác.
Tránh Trả Lại Dữ Liệu Nhạy Cảm
Chỉ trả lại dữ liệu cần thiết để máy khách hoạt động.
Việc chỉ trả lại dữ liệu cần thiết để máy khách hoạt động là một phương pháp hay quan trọng để bảo mật API. Điều này là do việc hạn chế lượng dữ liệu được trả lại sẽ giảm lượng thông tin nhạy cảm bị phơi bày. Bằng cách chỉ trả lại dữ liệu cần thiết, bạn có thể giúp ngăn chặn các lỗ hổng bảo mật như rò rỉ dữ liệu, các cuộc tấn công chèn và các loại tấn công khác dựa vào việc phơi bày quá nhiều thông tin. Ngoài ra, việc giảm lượng dữ liệu được trả lại có thể cải thiện hiệu suất của API của bạn bằng cách giảm lượng dữ liệu cần được xử lý và truyền.
Mã Phản Hồi Chính Xác
Trả về mã trạng thái chính xác theo thao tác đã hoàn thành.
Ví dụ:
200 OK400 Bad Request401 Unauthorized405 Method Not Allowed- ...v.v.