laravel安全中间件:security-headers
Laravel  /  管理员 发布于 1年前   523
如何在你的Laravel应用程序中利用中间件的力量来帮助提高你的应用程序的安全性.
你可以在你的应用程序中添加无数的头文件, 做不同的事情. 让我们深入了解一些不同的安全头文件,看看它们是做什么的 - 以及我喜欢在我的应用程序中做什么。
中间件并不是什么新东西。我们已经在我们的应用程序中使用了相当长的一段时间,从认证,授权等各种用途。
当我们考虑Laravel应用程序的安全问题时, 我们首先要做的是考虑我们不希望暴露的头信息.
通常情况下, 你的应用程序将显示以下默认的头信息:
X-Powered-By - 这将显示你的应用所采用的技术栈.
server/Server - 这将显示运行你的应用程序的服务器技术。
例如,apache或nginx等。
我们在这里要做的第一件事是删除这些头文件。
我为一家名为Treblle的公司工作,它就像为你的API提供的Google Analytics。
我们很快就会发布一个新的API安全检查,我已经开源了我们用来隐藏特定头信息的中间件。
一个HTTP中间件类的集合,以改善你的Laravel应用程序中的安全头。
https://github.com/Treblle/security-headers
它看起来像下面这样:
final class RemoveHeaders
{
public function handle(Request $request, Closure $next): Response
{
/**
* @var Response $response
*/
$response = $next($request);
/**
* @var string $header
*/
foreach ((array) config('headers.remove') as $header) {
$response->headers->remove(
key: $header,
);
}
return $response;
}
}
这个中间件通过我的配置文件中配置的头信息,并确保它们在返回给用户之前从响应中被删除。
我在这里通常做的下一件事是,当请求返回到同一来源时,将Referrer-Policy头设置为no-referrer-when-downgrade,但不包括任何跨来源的请求。
我使用另一个中间件来做这件事:
final class SetReferrerPolicy
{
public function handle(Request $request, Closure $next): Response
{
/**
* @var Response $response
*/
$response = $next($request);
$response->headers->set(
key: 'Referrer-Policy',
values: config('headers.referrer-policy),
);
return $response;
}
}
我把这些行动分成独立的中间件类,这样我就可以具体了解每条路线中关于安全的重要程度。
我希望某些路由更开放,而我希望它们对其他路由的开放程度略低。
我们先来谈谈Strict-Transport-Security头。这将告诉客户端/浏览器使用HTTPS连接到我们的应用程序,以及这个规则应该存在多长时间。
这个头有助于保护你的应用程序用户免受中间人攻击。
你也可以在这个标头中加入includeSubdomains,告诉浏览器将这个策略应用于所有网站的子域。
final class StrictTransportSecurity
{
public function handle(Request $request, \Closure $next): Response
{
/**
* @var Response $response
*/
$response = $next($request);
$response->headers->set(
key: 'Strict-Transport-Security',
values: config('headers.strict-transport-security'),
);
return $response;
}
}
我喜欢看的下面一个头是Content-Security-Policy头,这是一个比较常用的头。
我没有为这个创建自定义的中间件, 因为Spatie有一个非常棒的软件包,你可以使用。
在Laravel News的文章中,对如何设置这个问题有很好的说明,所以我不会去看这个问题的具体细节。
你的SSL证书可以为你的用户提供不同的透明度级别. 这种公共日志机制将允许任何人监控证书的发放。
这将有助于检测和防止假证书等事情。它也有各种配置选项:
max-age将指定浏览器应记住该策略的最长时间(以秒计)。
enforce将指定你是否希望浏览器强制执行该策略。
如果我们将其设置为 "true",浏览器将不允许无SSL连接到你的应用程序。
report-uri将指定一个URL,浏览器应将任何关于违反你的应用程序的CT策略的报告发送到该URL。
让我们看看这个中间件,看看我们要做什么:
final class CertificateTransparencyPolicy
{
public function handle(Request $request, \Closure $next): Response
{
/**
* @var Response $response
*/
$response = $next($request);
$response->headers->set(
key: 'Expect-CT',
values: config('headers.certificate-transparency'),
);
return $response;
}
}
正如你所看到的,其中一些中间件类很简单。
它们的组合将给你提供最好的保护,以防止潜在的攻击。
我们要看的最后一个中间件是许可-政策头。
我们可以用这个头来告诉浏览器,允许浏览器使用哪些功能和API。
这将有助于保护你免受诸如XSS攻击和点击劫持的影响。
final class PermissionsPolicy
{
public function handle(Request $request, \Closure $next): Response
{
/**
* @var Response $response
*/
$response = $next($request);
$response->headers->set(
key: 'Permissions-Policy',
values: config('headers.permissions-policy'),
);
return $response;
}
}
使用这个中间件,我可以对我想启用的功能有特别的要求,这意味着我可以为我的终端用户和我自己确保更多的安全。
转:
https://laravel-news.com/laravel-security-middleware
123 在
Clash for Windows作者删库跑路了,github已404中评论 按理说只要你在国内,所有的流量进出都在监控范围内,不管你怎么隐藏也没用,想搞你分..原梓番博客 在
在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。..博主 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章..1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..路人 在
php中使用hyperf框架调用讯飞星火大模型实现国内版chatgpt功能示例中评论 教程很详细,如果加个前端chatgpt对话页面就完美了..Copyright·© 2019 侯体宗版权所有· 粤ICP备20027696号