很多网站通过第三方平台扫描会出现很多低危漏洞,特别是使用绿盟进行安全检测经常会出现,但由于是虚拟主机,无法自行处理,所以可以通过rewrite的方式进行设置。
Windows系统:
在网站主目录下创建web.config,添加以下规则:
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtocol> <customHeaders> <!--检测到目标X-Content-Type-Options响应头缺失--> <add name="X-Content-Type-Options" value="nosniff" /> <!--检测到目标X-XSS-Protection响应头缺失--> <add name="X-XSS-Protection" value="1;mode=block" /> <!--检测到目标Content-Security-Policy响应头缺失--> <add name="Content-Security-Policy" value="default-src 'self'" /> <!--检测到目标Strict-Transport-Security响应头缺失--> <add name="Strict-Transport-Security" value="max-age=31536000" /> <!--检测到目标Referrer-Policy响应头缺失--> <add name="Referrer-Policy" value="origin-when-cross-origin" /> <!--检测到目标X-Permitted-Cross-Domain-Policies响应头缺失--> <add name="X-Permitted-Cross-Domain-Policies" value="master-only" /> <!--检测到目标X-Download-Options响应头缺失--> <add name="X-Download-Options" value="noopen" /> <!--点击劫持:X-Frame-Options未配置--> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> </system.webServer> </configuration>
请注意规则必须要添加的节点,如果添加错误会导致网站无法打开。
Linux apache系统:
在网站目录下创建.htaccess,在其中添加以下规则:
#检测到目标X-Content-Type-Options响应头缺失 Header set X-Content-Type-Options "nosniff" #检测到目标X-XSS-Protection响应头缺失 Header set X-XSS-Protection "1; mode=block" #检测到目标Strict-Transport-Security响应头缺失 Header set Strict-Transport-Security: "max-age=31536000 ; includeSubDomains ;" #检测到目标Referrer-Policy响应头缺失 Header set Referrer-Policy: strict-origin-when-cross-origin #检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 Header set X-Permitted-Cross-Domain-Policies "master-only" #检测到目标X-Download-Options响应头缺失 Header set X-Download-Options "noopen" #点击劫持:X-Frame-Options未配置 Header set X-Frame-Options "SAMEORIGIN"
其他相关安全问题:
利用X-Forwarded-For伪造客户端IP漏洞成因及防范,X-Forwarded-For伪造验证漏洞
常见网站安全漏洞处理方法,禁用危险的http方法,如TRACE,OPTIONS
针对360网站安全检测提示 X-Frame-Options头未设置的解决方法
» 本文链接地址:https://mydns.vip/4738.html
最新评论
麻烦发下检测工具
让我下载
非常好