Security 维护允许的HTTP响应头白名单的安全原因

作为一名web开发人员，我越来越多地调试问题，结果发现我们的IT部门正在使用防火墙过滤HTTP响应头

他们使用的是已知标题的白名单，因此某些较新的技术（CORS、WebSocket等）会自动剥离，直到我调试问题并请求白名单

受影响的回复是我们正在使用的第三方服务-因此，如果我们有一个使用Disqs的内部站点，则无法加载评论，因为来自Disqs的回复的标题被剥离。我们所服务的资源不会受到影响，因为这只是进入办公室的流量

是否有真正的理由阻止某些标题？很明显，存在诸如中间人、重定向到钓鱼网站等问题，但这些问题需要的不仅仅是错误的标题才能成功

---

维护允许的HTTP响应头白名单的安全原因是什么？

指纹识别可能是删除响应头的主要原因：

它取决于您正在运行的堆栈，并且大多数情况下，响应头中包含的信息在每个服务器中都是可配置的，但它需要单独篡改每个服务应用程序（在某些情况下，软件可能是私有的，并且不提供设置HTTP头的选项）

让我们举一个简单的例子：

在我们的示例数据中心中，我们正在运行一组用于不同目的的服务器，并且我们已经对它们进行了正确的配置，以便它们不会在报头上返回不必要的元数据

但是，其中一台服务器上安装了一个用于管理打印作业的新的（虚拟的）封闭源代码应用程序，它提供了一个我们出于任何原因想要使用的web界面。 如果这个应用程序返回一个额外的头，比如（比方说）“x-printman-version”（为了确保与使用其API的客户端兼容，它可能希望这样做），那么它将有效地公开其版本

而且，如果此打印作业管理器已知某些版本存在漏洞，则攻击者只需查询它就可以知道此特定安装是否存在漏洞

这似乎并不重要，为自动/随机攻击打开了一个窗口，扫描感兴趣的端口，并等待出现正确的标头（“指纹”），以确保成功发起攻击

因此，在一个组织中，剥离大部分（为我们想要保留的内容设置策略和规则）额外的HTTP头可能听起来是明智的

显然，从传出连接响应中剥离头是一种过火的行为。它们确实可以构成一个向量，但由于它是一个传出连接，这意味着我们“信任”端点。控制受信任端点的攻击者使用元数据而不是有效负载的原因并不简单

---

我希望这有帮助

例如，服务器和框架版本，可以公开适用于该版本的漏洞利用。有趣的一点。这些是我们网站使用的服务（如pinterest、mapbox、Disqs）的响应标题，而不是我们为公众服务的资源的响应标题。我将修改我的问题，使之更清楚。它们会从传入的HTTP请求中删除头吗？然后我强烈建议您与您的IT部门谈谈，并向他们询问理由，因为我想不出任何合乎逻辑的解释。谢谢，这就是我所做的，但他们正在深入研究。我在这里请求支持或揭穿我的理解，即在这种情况下没有理由使用白名单。可能有理由删除特定的标题，但白名单听起来确实是一个愚蠢的想法。它们是响应头，你无法对它们做任何事情，也无法对实际响应做任何事情。我不认为这是关于过滤响应头问题的答案。入境。