2023-02-25 495
漏洞名称:
检测到目标X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、Strict-Transport-Security、Referrer-Polic、X-Permitted-Cross-Domain-Policies、X-Download-Options响应头缺失
修复方法:
修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效
Header always set X-Content-Type-Options nosniff
Header always append X-XSS-Protection ‘1; mode=block’
Header set Content-Security-Policy “default-src ‘self’ localhost:8080 ‘unsafe-inline’ ‘unsafe-eval’ blob: data: ;”
Header add Strict-Transport-Security “value”
Header add Referrer-Policy “value”
Header add X-Permitted-Cross-Domain-Policies “value”
Header add X-Download-Options “value”
劫持:X-Frame-Options未配置
修复方法:
修改apache的配置文件httpd.conf,在<Directory />段配置下,添加以下配置,重启生效
<Directory />
AllowOverride none
Require all denied
<LimitExcept POST GET>
Require valid-user
</LimitExcept>
</Directory>
HTTP动词篡改的认证旁路
修复方法:
修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效
Header always append X-Frame-Options “DENY”
或者Header always append X-Frame-Options SAMEORIGIN
X-Frame-Options:值有三个:
(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
(3)ALLOW-FROM https://example.com/:表示该页面可以在指定来源的 frame 中展示。
原文链接:https://77isp.com/post/34333.html
=========================================
https://77isp.com/ 为 “云服务器技术网” 唯一官方服务平台,请勿相信其他任何渠道。
数据库技术 2022-03-28
网站技术 2022-11-26
网站技术 2023-01-07
网站技术 2022-11-17
Windows相关 2022-02-23
网站技术 2023-01-14
Windows相关 2022-02-16
Windows相关 2022-02-16
Linux相关 2022-02-27
数据库技术 2022-02-20
小游客游戏攻略网游戏攻略网 2024年07月26日
抠敌 2023年10月23日
嚼餐 2023年10月23日
男忌 2023年10月22日
瓮仆 2023年10月22日
扫码二维码
获取最新动态