OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 7 / 286•14 个分类
V14.4.1每个 HTTP 响应都包含一个 Content-Type 头控制项
Config / HTTP 安全头
验证每个 HTTP 响应是否包含 Content-Type 头。如果内容类型是 text/*、*/xml 或 application/xml,还应指定一个安全的字符集(例如 UTF-8、ISO-8859-1)。内容必须与提供的 Content-Type 头匹配。
评估
评估状态:
评估备注:
V14.4.2所有 API 响应都包含 Content-Disposition: attachment; filename="api"控制项
Config / HTTP 安全头
验证所有 API 响应是否包含 Content-Disposition: attachment; filename="api.json" 头(或其他适合内容类型的文件名)。
评估
评估状态:
评估备注:
V14.4.3已设置内容安全策略(CSP)响应头,有助于减轻 HTML、DOM、JSON 和 JavaScript 注入漏洞等 XSS 攻击的影响控制项
Config / HTTP 安全头
验证是否存在能够帮助减轻 HTML、DOM、JSON 和 JavaScript 注入漏洞等 XSS 攻击影响的内容安全策略(CSP)响应头。
评估
评估状态:
评估备注:
V14.4.4所有响应都包含 X-Content-Type-Options: nosniff 头控制项
Config / HTTP 安全头
确认所有响应都包含 X-Content-Type-Options: nosniff 头。
评估
评估状态:
评估备注:
V14.4.5所有响应和所有子域都包含 Strict-Transport-Security 头,例如 Strict-Transport-Security: max-age=15724800; includeSubdomains控制项
Config / HTTP 安全头
验证是否在所有响应和所有子域上都包含 Strict-Transport-Security 头,例如 Strict-Transport-Security: max-age=15724800; includeSubdomains。
评估
评估状态:
评估备注:
V14.4.6包含了适当的 Referrer-Policy 头,以避免通过 Referer 头向不受信任的方泄露 URL 中的敏感信息控制项
Config / HTTP 安全头
验证是否包含合适的 Referrer-Policy 头,以避免通过 Referer 头向不可信方暴露 URL 中的敏感信息。
评估
评估状态:
评估备注:
V14.4.7默认情况下,网页应用的内容不能嵌入第三方网站,只有在必要时,才可以通过使用适当的 Content-Security-Policy: frame-ancestors 和 X-Frame-Options 响应头来允许嵌入相同的资源控制项
Config / HTTP 安全头
验证默认情况下网页应用的内容不能被嵌入第三方网站,并且仅在必要时使用适当的 Content-Security-Policy: frame-ancestors 和 X-Frame-Options 响应头允许嵌入相同的资源。
评估
评估状态:
评估备注: