该模块为Drupal提供了大量的安全加固选项,能降低Web应用被攻击的风险。
##跨域脚本
通过IE和Firefox的X-Content-Security-Policy、Chrome和Safari的X-WebKit-CSP以及Content-Security-Policy(官方名称)的HTTP响应头,来实现内容安全策略。其中包含配置页面,并且对违反CSP的访问记录到Watchdog。
Internet Explorer/Apple Safari/Google Chrome提供了内置的XSS过滤功能,利用XSS-Protection这一HTTP响应头来进行控制浏览器的这些功能。
修复Drupal 6的上传问题,Drupal 7的上传功能合并到了FileField中,所有D7版本没有这一选项。
在HTTP响应头中添加X-Content-Type-Options: nosniff,阻止服务器提供错误的MIME类型和浏览器的upsniff行为。
##跨站点请求伪造
在HTTP请求头中加入Origin。
##点击劫持
参考资料
实现了X-Frame-Options的HTTP响应头。
结合JavaScript + CSS + Noscript,用于提供禁止JavaScript的自定义消息提示。
##SSL/TLS
实现了HTTP Strict Transport Security头(强制要求使用https –译者注),用于防止中间人攻击
##杂项
From-Origin响应头(用于保障页面中嵌入的资源来源于受控范围)。
##文档
所有必要的文档和例子都可以在该模块的配置页面中找到,你还可以在http://www.browserscope.org/?category=security中查看浏览器当前的支持状态。
##已知问题
CSP报告在Chrome浏览器中不可用,Chrome在Menu返回403的情况下不会设置Cookie。
文章来源于互联网:Security Kit模块