實用安全實施指南
使用者經常在網站上輸入敏感資料,例如姓名、地址、密碼和銀行詳細資訊。作為一名 Web 開發人員,至關重要的是要保護這些資訊免受惡意行為者的侵害,他們會利用各種漏洞來竊取這些資訊並將其用於個人牟利。 Web 安全的重點是幫助您保護您的網站免受這些漏洞的侵害,並確保您使用者敏感資料的安全。
此頁面列出了總結了在網站上實現安全功能的一些最佳實踐的指南。雖然這些指南並未涵蓋所有可能的安全場景,也無法保證您網站的完全安全,但遵循這些指南中的資訊和最佳實踐將使您的網站更加安全。
HTTP 安全基礎知識
本節中的指南總結了正確實現 HTTP 標頭以緩解安全問題的最佳實踐,並且直接與 HTTP Observatory 工具相關。
Observatory 對網站執行安全審計,並提供等級和分數以及修復其發現的安全問題的建議。這些指南解釋瞭如何解決 HTTP Observatory 測試中暴露的問題:該工具為每個問題連結到相關的指南,幫助您走向有效的解決方案。值得注意的是,Mozilla 的內部開發團隊在實現網站時會使用這些指南,以確保應用安全最佳實踐。
下表中的指南按我們推薦實現其描述的安全功能的順序排列。此順序基於每個功能的安全影響以及從運營和開發角度來看其實現的難易程度。該表提供了有關每個功能的預期影響、實現難度、是否必需以及簡要描述的資訊。
| 指南 | 影響 | 難度 | 必需 | 描述 |
|---|---|---|---|---|
| TLS 配置 | Medium | Medium | 是 | 為您的使用者群使用最安全的可用傳輸層安全 (TLS) 配置。 |
| TLS:資源載入 | 最大 | 低 | 是 | 透過 HTTPS 載入被動和主動資源。 |
| TLS:HTTP 重定向 | 最大 | 低 | 是 | 網站必須重定向到 HTTPS;API 端點應完全停用 HTTP。 |
| TLS:HSTS 實現 | 高 | 低 | 是 | 透過使用 HTTP 嚴格傳輸安全 (HSTS),通知使用者代理僅透過 HTTPS 連線到站點,即使原始選擇的方案是 HTTP。 |
| 防範點選劫持 | 高 | 低 | 是 | 控制您的網站如何在 `<iframe>` 中進行框架設定,以防止點選劫持。 |
| 防範 CSRF | 高 | 未知 | 各不相同 | 防範跨站請求偽造 (CSRF) 攻擊。 |
| 安全 Cookie 配置 | 高 | Medium | 是 | 儘可能嚴格地設定所有 cookie。 |
| CORP 實現 | 高 | Medium | 是 | 使用跨域資源策略 (CORP) 來防範推測性側通道攻擊。 |
| MIME 型別驗證 | 低 | 低 | 否 | 驗證您的所有網站是否都為所有資源設定了正確的 MIME 型別。 |
| CSP 實現 | 高 | 高 | 是 | 使用內容安全策略 (CSP) 來精細控制可以在站點上載入的程式碼以及它允許執行的操作,從而減輕跨站指令碼 (XSS) 漏洞。 |
| CORS 配置 | 高 | 低 | 是 | 透過使用跨域資源共享 (CORS) 來定義允許訪問頁面內容並從其載入資源的非同源。 |
| Referrer Policy 配置 | 低 | 低 | 是 | 透過 `Referer` 標頭改善使用者隱私並防止洩露內部 URL。 |
| robots.txt 配置 | 低 | 低 | 否 | 透過指示機器人(例如搜尋引擎索引器)不要抓取網站上的某些路徑來告訴它們如何行為。 |
| SRI 實現 | 低 | 低 | 否 | 透過使用子資源完整性 (SRI) 來驗證獲取的資源(例如來自 CDN 的資源)是否在未被意外操縱的情況下交付。 |
使用者資訊安全
- 如何關閉表單自動填充
-
表單欄位支援自動完成;也就是說,可以記住其值並在使用者下次訪問您的網站時自動填充。對於某些型別的資料,您可能希望停用此功能;本文將介紹如何操作。