跨站防护

今天用ZAP给自开发业务做了一下漏扫，有这四个异常：

X-Frame-Options Header Not Set
X-Content-Type-Options Header Missing
Strict-Transport-Security Missing
Cross-Domain Misconfigurationexample.com

解决方案：

在Nginx配置文件中增加如下代码以设置响应头：（我是放在了网站的配置文件的server块里）

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security "max-age=31536000;includeSubDomains";
Access-Control-Allow-Origin:

原理

X-Frame-Options头决定网页能否被嵌入，主要用于规避在嵌入框架上加浮层的点击劫持 (clickjacking) 攻击，配置为DENY则禁止嵌入，SAMEORIGIN为仅允许相同域名嵌入，ALLOW-FROM为限制在白名单，用法为：

X-Frame-Options: ALLOW-FROM https://example.com/

X-Content-Type-Options头决定是否由浏览器判断返回内容的MIME类型，可能导致服务器返回内容声明的MIME类型无效从而错误被按其他MIME类型处理；

X-XSS-Protection头决定当检测到跨站脚本攻击，浏览器的应对方式，0为关闭，1将清除恶意代码（一般浏览器默认按这个处理），1;mode=block为停止加载，1; report=<reporting-URI>  (仅Chromium有效)，清除恶意代码并向reporting-URI发送报告

Strict-Transport-Security通知浏览器它应该使用HTTPS加载站点

Access-Control-Allow-Origin为跨域请求白名单域名，避免用*