阿摩線上測驗
複選題
17. 下列哪些HTTP Header標頭之安全性設定,「不」能讓網站與使用者
瀏覽器之間有更多的安全防護功能?(複選)
(A) HTTP Strict Transport Security
(B) Access-Control-Max-Age
(C) Accept-Encoding
(D) X-Frame-Options
答案:登入後查看
統計: A(53), B(351), C(333), D(135), E(1) #2810952
統計: A(53), B(351), C(333), D(135), E(1) #2810952
詳解 (共 2 筆)
ciao (邀請碼220387)
#7322441
(B)、(C) 這兩項標頭雖然在網路通訊中扮演重要角色,但它們的主要目的並非直接提供針對網站與瀏覽器之間的「安全防護」:
- (A) HTTP Strict Transport Security (HSTS):能提供安全防護。它強制瀏覽器僅能透過加密的 HTTPS 與伺服器連線,有效防止「SSL 剝離(SSL Stripping)」攻擊與中間人攻擊。
- (B) Access-Control-Max-Age:不能提供安全防護。這是跨來源資源共享(CORS)中的一個標頭,用來指定瀏覽器在發送下一次正式請求前,可以將「預檢請求(Preflight Request)」結果緩存多久的效能優化參數,與直接的資安防護功能無關。
- (C) Accept-Encoding:不能提供安全防護。這是一個標準的內容協商標頭,用戶端用來告知伺服器自己支援哪些資料壓縮格式(如 gzip 或 br),主要用於節省流量與提升載入速度。
- (D) X-Frame-Options:能提供安全防護。它能指示瀏覽器是否允許將頁面嵌入到 <iframe> 等標籤中,是防範「點擊劫持(Clickjacking)」攻擊的核心工具。
0
0