Google发布了对谷歌浏览器Chrome的安全更新,要求Web开发人员提供Nosniff响应标题来防止黑客通过Web浏览器进行攻击。如果您是SEO、Web开发人员、Web设计人员或站点发布者,那么这个问题很重要。
为什么安全更新很重要
黑客攻击(Spectre & Meltdown)利用访客设备中的漏洞来窃取敏感信息,比如密码。这就产生了一个用户体验问题。
Chrome的升级功能是什么
Chrome升级到67版,引入了一个以前在Beta版中称为站点隔离的特性。站点隔离是防止黑客攻击站点访问者浏览器的一种有效方法。
根据Chrome的开发者页面描述:
站点隔离是Chrome的一个安全特性,为某些类型的安全Bug提供了额外的保护。它可以使不值得信赖的网站更难访问,保护你在其他网站上的账户信息。
站点隔离提供了第二道防线,降低了此类攻击成功的可能性,确保了来自不同网站的页面总是被放到不同的进程中。每个进程都在一个Sandbox中运行,限制了流程的执行。它还可以阻止进程从其他站点接收某些类型的敏感数据。因此,即使恶意网站可以在自己的进程中打破一些规则,也很难从其他网站窃取到数据。
Google想要你做什么
Google的Chrome团队要求开发人员和发布者做两件事,来帮助Chrome的站点隔离功能更有效地工作:
1、检查资源是否使用正确的“Content-Type”响应标题;
2、确保这些资源都有一个Nosniff响应标题。
Chrome 67现在有一个自动处理程序来保护用户免受Spectre和Meltdown的攻击。但是,Google建议Web开发人员不要依赖这个自动处理程序,而是使用Nosniff响应标题明确说明:
当“Nosniff”标题不存在时,Chrome首先会查看文件的开头,以确定它是HTML、XML还是JSON格式,然后再决定是否保护它。如果不能确认,则允许跨站点页面的进程接收响应。这是一种最佳的方法,在保持与现有站点的兼容性的同时,增加了一些有限的保护。我们建议web开发人员添加“Nosniff”标题来保护他们的资源,避免依赖这种“Confirmation Sniffing”方法。
如何添加Nosniff响应标题
首先要做的是检查安全页眉。SecurityHeaders.com是一个免费且容易使用的工具,可以扫描网站,看看他们是否丢失了安全相关的标题。如果需要实现Nosniff响应标题,一种方法是使用Htaccess。
如何在WordPress上添加Nosniff响应标题
如果你在WordPress上,有三个插件可以用来添加几个重要的安全标题,包括Nosniff Header。
第一个插件,据说有3000+用户安装,被称为Security Headers。这是一个很容易使用的插件,最少的设置只为一件事,并做到极致。
第二个插件,已有1000+用户安装,被称为HTTP Headers to Improve Security。这个插件包含了增强安全性的更多特性,包括设置一个CSP(Content-Security-Policy)标题,这有助于防止跨站点脚本和Clickjacking。
第三个插件,已有6000+用户安装,被称为HTTP Headers。易于使用,功能全面。这个插件在易用性和全面性之间取得了平衡。根据你自己的判断,选择适合你的。
注意:如果您正在使用W3总缓存,请确保在更新插件上的设置后清空缓存。否则,设置可能不会生效。
安全响应标题很重要,即使Google Chrome没有要求发布者添加Nosniff响应标题,将其和其他安全响应标题添加到站点仍然是一个不错的选择。
(编译/全球搜 Abby)
领取专属 10元无门槛券
私享最新 技术干货