Google要求發布者添加Nosniff響應標題

Google發布了對谷歌瀏覽器Chrome的安全更新，要求Web開發人員提供Nosniff響應標題來防止黑客通過Web瀏覽器進行攻擊。如果您是SEO、Web開發人員、Web設計人員或站點發布者，那麼這個問題很重要。

為什麼安全更新很重要

黑客攻擊(Spectre & Meltdown)利用訪客設備中的漏洞來竊取敏感信息，比如密碼。這就產生了一個用戶體驗問題。

Chrome的升級功能是什麼

Chrome升級到67版，引入了一個以前在Beta版中稱為站點隔離的特性。站點隔離是防止黑客攻擊站點訪問者瀏覽器的一種有效方法。

根據Chrome的開發者頁面描述：

站點隔離是Chrome的一個安全特性，為某些類型的安全Bug提供了額外的保護。它可以使不值得信賴的網站更難訪問，保護你在其他網站上的賬戶信息。

站點隔離提供了第二道防線，降低了此類攻擊成功的可能性，確保了來自不同網站的頁面總是被放到不同的進程中。每個進程都在一個Sandbox中運行，限制了流程的執行。它還可以阻止進程從其他站點接收某些類型的敏感數據。因此，即使惡意網站可以在自己的進程中打破一些規則，也很難從其他網站竊取到數據。

Google想要你做什麼

Google的Chrome團隊要求開發人員和發布者做兩件事，來幫助Chrome的站點隔離功能更有效地工作：

1、檢查資源是否使用正確的「Content-Type」響應標題；

2、確保這些資源都有一個Nosniff響應標題。

Chrome 67現在有一個自動處理程序來保護用戶免受Spectre和Meltdown的攻擊。但是，Google建議Web開發人員不要依賴這個自動處理程序，而是使用Nosniff響應標題明確說明:

當「Nosniff」標題不存在時，Chrome首先會查看文件的開頭，以確定它是HTML、XML還是JSON格式，然後再決定是否保護它。如果不能確認，則允許跨站點頁面的進程接收響應。這是一種最佳的方法，在保持與現有站點的兼容性的同時，增加了一些有限的保護。我們建議web開發人員添加「Nosniff」標題來保護他們的資源，避免依賴這種「Confirmation Sniffing」方法。

如何添加Nosniff響應標題

首先要做的是檢查安全頁眉。SecurityHeaders.com是一個免費且容易使用的工具，可以掃描網站，看看他們是否丟失了安全相關的標題。如果需要實現Nosniff響應標題，一種方法是使用Htaccess。

如何在WordPress上添加Nosniff響應標題

如果你在WordPress上，有三個插件可以用來添加幾個重要的安全標題，包括Nosniff Header。

第一個插件，據說有3000+用戶安裝，被稱為Security Headers。這是一個很容易使用的插件，最少的設置只為一件事，並做到極致。

第二個插件，已有1000+用戶安裝，被稱為HTTP Headers to Improve Security。這個插件包含了增強安全性的更多特性，包括設置一個CSP(Content-Security-Policy)標題，這有助於防止跨站點腳本和Clickjacking。

第三個插件，已有6000+用戶安裝，被稱為HTTP Headers。易於使用，功能全面。這個插件在易用性和全面性之間取得了平衡。根據你自己的判斷，選擇適合你的。

注意:如果您正在使用W3總緩存，請確保在更新插件上的設置後清空緩存。否則，設置可能不會生效。

安全響應標題很重要，即使Google Chrome沒有要求發布者添加Nosniff響應標題，將其和其他安全響應標題添加到站點仍然是一個不錯的選擇。

（編譯/全球搜 Abby）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！