Tăng bảo mật website bằng htaccess

Danh mục: , , , , - 1 Bình luận
Ngoài việc áp dụng các kỹ thuật trong Code hôm nay tôi muốn giới thiệu đến các bạn 3 kỹ thuật đối với file .htaccess để tăng tính bảo mật cho website của bạn. Các kỹ thuật này thêm các header bảo mật bổ sung cho tất các các tài nguyên của website bạn. Cụ thể, tôi sẽ giải thích các thêm  Header X-Security để bảo vệ chống lại các kiểu tấn công: Cross-site scripting (XSS), Page-framing và Content-sniffing. Việc thêm các header này rất đơn giản nhưng hiệu quả trong việc tăng tính bảo mật cho website của bạn rất cao.



1. Chống lại tấn công XSS
Đầu tiên, chúng tôi muốn thêm một tiêu đề X-Security để giúp bảo vệ chống lại XSS.Thêm đoạn mã sau vào file .htaccess gốc của trang web của bạn:
# X-XSS-Protection
<IfModule mod_headers.c>
 Header set X-XSS-Protection "1; mode=block"
</IfModule>
Mã này hoạt động bằng cách thêm header X-XSS-Protection vào các phản hồi của máy chủ của bạn. Hầu hết các trình duyệt web hiện đại đều hiểu header này và sẽ sử dụng nó để giúp bảo vệ trang web của bạn chống lại các cuộc tấn công XSS.
Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

2. Chống lại Cross-Frame Scripting (XFS) và Click-Jacking
- Cross-Frame Scripting (XFS) là kiểu tấn công đánh lừa người dùng bằng cách nhúng trang web của bạn vào một trang web khác.
- Click-Jacking là hình thức tấn công đánh lừa người dùng nhấp chuột vô ý vào một đối tượng trên website mà họ không biết hoặc không nhìn thấy. Một trong những cách để làm điều này là làm mờ , trong suốt đối tượng phía trên 1 nút chức năng nào đó.
Đoạn mã sau sẽ ngăn chặn được hình thức tấn công này:
# X-Frame-Options
<IfModule mod_headers.c>
 Header always append X-Frame-Options SAMEORIGIN
</IfModule>

3. Chống lại Content-sniffing
- Là hình thức tấn công sự dụng các công cụ Network để nghe lén các dữ liệu truyền đi qua các giao thức truyền dữ liệu (FTP, HTTP, POP, SMTP, Telnet..). Để bảo vệ website của bạn, bạn cần đưa đoạn code sau vào httacess:
# X-Content-Type nosniff
<IfModule mod_headers.c>
 Header set X-Content-Type-Options nosniff
</IfModule>

Kết luận:
Bây giờ chúng ta sẽ có đoạn code trong htaccess như sau:
# Extra Security Headers
<IfModule mod_headers.c>
 Header set X-XSS-Protection "1; mode=block"
 Header always append X-Frame-Options SAMEORIGIN
 Header set X-Content-Type-Options nosniff
</IfModule>
Trong bài viết này tôi không đi sâu vào từng hình thức tấn công vì trên mạng có rất nhiều và đầy đủ rồi,  tôi chỉ muốn chia sẽ 1 đoạn code đê giúp website của chúng ta bảo mật hơn.





1 nhận xét:

  1. Đạt Nguyễnlúc 16:01 17 tháng 8, 2020

    Bài viết rất hay, tham khảo qua 1 số tin liên quan dưới đây:
    Xem thêm tại link 1:giá ghế massagechi tiết
    Xem thêm tại link 2:giá ghế matxa toàn thânchi tiết
    Xem thêm tại link 3:giá ghế mát xa chi tiết

    Trả lờiXóa

Rất mong các ý kiến của các bạn khi đọc bài viết này !