作为Web开发人员,我越来越多地调试问题,发现我们的IT部门正在使用我们的防火墙来过滤HTTP响应标头.
他们正在使用已知标头的白名单,因此某些较新的技术(CORS,websockets等)会被自动剥离,直到我调试问题并请求列入白名单.
受影响的响应是我们正在使用的第三方服务 - 因此,如果我们有一个使用disqus的内部站点,则无法加载注释,因为disqus的响应正在删除它的标头.我们服务的资源不会受到影响,因为它只是进入办公室的流量.
是否有正当理由阻止某些标题?显然存在诸如中间人,重定向到钓鱼网站等问题,但这些需要的不仅仅是错误的标题才能成功.
维护允许的HTTP响应标头的白名单有哪些安全原因?