Loading...

跨站防护

Web开发 2年前 (2022) LINSIR
89 0 0

今天用ZAP给自开发业务做了一下漏扫,有这四个异常:

X-Frame-Options Header Not Set
X-Content-Type-Options Header Missing
Strict-Transport-Security Missing
Cross-Domain Misconfigurationexample.com

解决方案:

在Nginx配置文件中增加如下代码以设置响应头:(我是放在了网站的配置文件的server块里)

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security "max-age=31536000;includeSubDomains";
Access-Control-Allow-Origin:

原理

X-Frame-Options头决定网页能否被嵌入,主要用于规避在嵌入框架上加浮层的点击劫持 (clickjacking) 攻击,配置为DENY则禁止嵌入,SAMEORIGIN为仅允许相同域名嵌入,ALLOW-FROM为限制在白名单,用法为:

X-Frame-Options: ALLOW-FROM https://example.com/

X-Content-Type-Options头决定是否由浏览器判断返回内容的MIME类型,可能导致服务器返回内容声明的MIME类型无效从而错误被按其他MIME类型处理;

X-XSS-Protection头决定当检测到跨站脚本攻击,浏览器的应对方式,0为关闭,1将清除恶意代码(一般浏览器默认按这个处理),1;mode=block为停止加载,1; report=<reporting-URI>  (仅Chromium有效),清除恶意代码并向reporting-URI发送报告

Strict-Transport-Security通知浏览器它应该使用HTTPS加载站点

Access-Control-Allow-Origin为跨域请求白名单域名,避免用*

版权声明:LINSIR 发表于 2022-06-29 15:48。
转载请注明:跨站防护 | LINSIR的博客

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...