今天用ZAP给自开发业务做了一下漏扫,有这四个异常:
X-Frame-Options Header Not Set
X-Content-Type-Options Header Missing
Strict-Transport-Security Missing
Cross-Domain Misconfigurationexample.com
解决方案:
在Nginx配置文件中增加如下代码以设置响应头:(我是放在了网站的配置文件的server块里)
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security "max-age=31536000;includeSubDomains";
Access-Control-Allow-Origin:
原理
X-Frame-Options
头决定网页能否被嵌入,主要用于规避在嵌入框架上加浮层的点击劫持 (clickjacking) 攻击,配置为DENY
则禁止嵌入,SAMEORIGIN
为仅允许相同域名嵌入,ALLOW-FROM
为限制在白名单,用法为:
X-Frame-Options: ALLOW-FROM https://example.com/
X-Content-Type-Options
头决定是否由浏览器判断返回内容的MIME类型,可能导致服务器返回内容声明的MIME类型无效从而错误被按其他MIME类型处理;
X-XSS-Protection
头决定当检测到跨站脚本攻击,浏览器的应对方式,0为关闭,1将清除恶意代码(一般浏览器默认按这个处理),1;mode=block
为停止加载,1; report=<reporting-URI>
(仅Chromium有效),清除恶意代码并向reporting-URI
发送报告
Strict-Transport-Security
通知浏览器它应该使用HTTPS加载站点
Access-Control-Allow-Origin
为跨域请求白名单域名,避免用*
相关文章
暂无评论...