laravel安全中间件：security-headers

Laravel  /  管理员 发布于 2年前   620

如何在你的Laravel应用程序中利用中间件的力量来帮助提高你的应用程序的安全性.

你可以在你的应用程序中添加无数的头文件, 做不同的事情. 让我们深入了解一些不同的安全头文件，看看它们是做什么的 - 以及我喜欢在我的应用程序中做什么。

中间件并不是什么新东西。我们已经在我们的应用程序中使用了相当长的一段时间，从认证，授权等各种用途。

当我们考虑Laravel应用程序的安全问题时, 我们首先要做的是考虑我们不希望暴露的头信息. 

通常情况下, 你的应用程序将显示以下默认的头信息：

X-Powered-By - 这将显示你的应用所采用的技术栈.

server/Server - 这将显示运行你的应用程序的服务器技术。

例如，apache或nginx等。

我们在这里要做的第一件事是删除这些头文件。

我为一家名为Treblle的公司工作，它就像为你的API提供的Google Analytics。

我们很快就会发布一个新的API安全检查，我已经开源了我们用来隐藏特定头信息的中间件。

一个HTTP中间件类的集合，以改善你的Laravel应用程序中的安全头。

https://github.com/Treblle/security-headers

它看起来像下面这样：

final class RemoveHeaders
{
    public function handle(Request $request, Closure $next): Response
    {
        /**
         * @var Response $response
         */
        $response = $next($request);
 
        /**
         * @var string $header
         */
        foreach ((array) config('headers.remove') as $header) {
            $response->headers->remove(
                key: $header,
            );
        }
 
        return $response;
    }
}

这个中间件通过我的配置文件中配置的头信息，并确保它们在返回给用户之前从响应中被删除。

我在这里通常做的下一件事是，当请求返回到同一来源时，将Referrer-Policy头设置为no-referrer-when-downgrade，但不包括任何跨来源的请求。

我使用另一个中间件来做这件事：

final class SetReferrerPolicy
{
    public function handle(Request $request, Closure $next): Response
    {
        /**
         * @var Response $response
         */
        $response = $next($request);
 
        $response->headers->set(
            key: 'Referrer-Policy',
            values: config('headers.referrer-policy),
        );
 
        return $response;
    }
}

我把这些行动分成独立的中间件类，这样我就可以具体了解每条路线中关于安全的重要程度。

我希望某些路由更开放，而我希望它们对其他路由的开放程度略低。

我们先来谈谈Strict-Transport-Security头。这将告诉客户端/浏览器使用HTTPS连接到我们的应用程序，以及这个规则应该存在多长时间。

这个头有助于保护你的应用程序用户免受中间人攻击。

你也可以在这个标头中加入includeSubdomains，告诉浏览器将这个策略应用于所有网站的子域。

final class StrictTransportSecurity
{
    public function handle(Request $request, \Closure $next): Response
    {
        /**
         * @var Response $response
         */
        $response = $next($request);
 
        $response->headers->set(
            key: 'Strict-Transport-Security',
            values: config('headers.strict-transport-security'),
        );
 
        return $response;
    }
}

我喜欢看的下面一个头是Content-Security-Policy头，这是一个比较常用的头。

我没有为这个创建自定义的中间件, 因为Spatie有一个非常棒的软件包，你可以使用。

在Laravel News的文章中，对如何设置这个问题有很好的说明，所以我不会去看这个问题的具体细节。

你的SSL证书可以为你的用户提供不同的透明度级别. 这种公共日志机制将允许任何人监控证书的发放。

这将有助于检测和防止假证书等事情。它也有各种配置选项：

max-age将指定浏览器应记住该策略的最长时间（以秒计）。

enforce将指定你是否希望浏览器强制执行该策略。

如果我们将其设置为 "true"，浏览器将不允许无SSL连接到你的应用程序。

report-uri将指定一个URL，浏览器应将任何关于违反你的应用程序的CT策略的报告发送到该URL。

让我们看看这个中间件，看看我们要做什么：

final class CertificateTransparencyPolicy
{
    public function handle(Request $request, \Closure $next): Response
    {
        /**
         * @var Response $response
         */
        $response = $next($request);
 
        $response->headers->set(
            key: 'Expect-CT',
            values: config('headers.certificate-transparency'),
        );
 
        return $response;
    }
}

正如你所看到的，其中一些中间件类很简单。

它们的组合将给你提供最好的保护，以防止潜在的攻击。

我们要看的最后一个中间件是许可-政策头。

我们可以用这个头来告诉浏览器，允许浏览器使用哪些功能和API。

这将有助于保护你免受诸如XSS攻击和点击劫持的影响。

final class PermissionsPolicy
{
    public function handle(Request $request, \Closure $next): Response
    {
        /**
         * @var Response $response
         */
        $response = $next($request);
 
        $response->headers->set(
            key: 'Permissions-Policy',
            values: config('headers.permissions-policy'),
        );
 
        return $response;
    }
}

使用这个中间件，我可以对我想启用的功能有特别的要求，这意味着我可以为我的终端用户和我自己确保更多的安全。

转：

https://laravel-news.com/laravel-security-middleware