1
我们在后端API上实现HSTS,并偶然发现了内容安全策略(CSP)头。该标题告诉浏览器从图像,视频,样式表,脚本等资源的哪个位置可以下载。我应该使用Content-Security-Policy HTTP头作为后端API吗?
由于后端API不会真正在浏览器中显示内容,因此设置此标头的价值是什么?
A
回答
1
是一种技巧,旨在损害xss攻击。也就是说,它与服务超媒体相结合是最有用的,它依赖于其他资源的加载。这不完全是我期望使用API的场景。这并不是说你不能使用它。如果真的有在您的答复没有互动的内容,没有什么可以从服务这个头抱住你:
Content-Security-Policy: default-src 'none';
往前一步,你能使用CSP作为某种临时Intrusion Detection System通过为了在设置report-uri到取incoming violation reports。这在预期的使用范围内,但仍然有点便宜。
总之,理论上可以通过很少的努力来提高API的安全性。实际上,这些优势可能是微不足道的。如果你觉得喜欢,发送这个头文件应该没有什么坏处。你可能会获得更多的收益。 suppressing MIME-type sniffing,但。
相关问题
- 1. 我应该为我的后端使用不同的框架吗?
- 2. 我应该使用后端和前端表单验证吗?
- 3. 我应该在公共API中使用UUID作为资源吗?
- 4. 基于REST的HTTP API - 我应该使用WCF吗?
- 5. 我应该为此使用后台工作吗?
- 6. 在计算ETag时,我应该考虑HTTP响应头吗?
- 7. 我应该使用SSL来保护CMS后端吗?
- 8. 我应该为每个http请求使用firebase云功能吗?
- 9. 我应该在Spring 4应用程序中使用DI作为Jersey API客户端吗?
- 10. 我应该编码HTTP请求标头吗?
- 11. 我可以在Ionic中使用Python作为后端工作吗
- 12. 我应该为APNS HTTP2 API使用不同的证书吗?
- 13. 我的Pragma HTTP响应头文件应该设置为?
- 14. 我应该为此使用BlazeDS吗?
- 15. 我应该使用单独的REST后端项目和JavaScript重前端吗?
- 16. 应该将useragent的值作为java客户端的http头文件
- 17. 我应该在异步任务的dobackground中使用android-async-http客户端吗?
- 18. 我应该为WCF P2P应用分配一个端口吗?
- 19. 我应该使用AJAX吗?
- 20. 我应该使用document.writeln吗?
- 21. 我应该使用convertView吗?
- 22. 我应该使用node.js吗?
- 23. 我应该使用NHibernate吗?
- 24. 我应该使用Hadoop吗?
- 25. 我应该使用Zend_Auth吗?
- 26. 我应该使用mahout吗?
- 27. 我应该使用Subversion吗?
- 28. 我应该使用JAI吗?
- 29. 我应该使用CRUD吗?
- 30. 我应该使用AutoreleasePool吗?
没有用处。你为什么想添加这个头文件? API是_private_,它永远不会通过浏览器访问。 –
因为我正在阅读这个任务,这是有人写的。既然听起来很奇怪,我只想确认一下。 –