最近机房让整改的漏洞 设置cookie httponly X-Frame-Options头未设置

最新推荐文章于 2024-04-14 18:41:48 发布
最新推荐文章于 2024-04-14 18:41:48 发布
阅读量401 收藏
点赞数
文章标签: php 运维
原文链接:http://www.cnblogs.com/jackduan/p/9399473.html
版权

https://www.jb51.net/article/105018.htm

 

PHP中的设置

PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中
----------------------------------------------------- 
session.cookie_httponly = 1
-----------------------------------------------------

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:

?
1
2
3
<?php ini_set ( "session.cookie_httponly" , 1);
  // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:

?
1
2
3
4
<?php
setcookie( "abc" , "test" , NULL, NULL, NULL, NULL, TRUE);
setrawcookie( "abc" , "test" , NULL, NULL, NULL, NULL, TRUE);
?>

对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:

 
?
1
2
3
<?php
header( "Set-Cookie: hidden=value; httpOnly" );
?>
                                                                                                                                                                                                                                                                                                                                                                                                                                 
 
 
 
 
http://www.sdlcseo.com/629.html
 

大家在使用虚拟机搭建WordPress博客的时候,相信都会使用360网站安全检测来检查网站安全性,使用WordPress博客程序搭建的博客多少都会报点漏洞,今天WIFI部落网出现了 X-Frame-Options头未设置 的提示,虽然是轻微漏洞,但看着不舒服,所以把这个问题处理了。
X-Frame-Options头未设置 修复方法:
一、Apache 配置
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行代码添加到配置中:       apache配置httpd.conf         先开启mod_header.so 扩展

  1. Header always append X-Frame-Options SAMEORIGIN

二、nginx 配置
配置 nginx 发送 X-Frame-Options 响应头,把下面这行代码添加到 'http', 'server' 或者 'location' 的配置中:

1.add_header X-Frame-Options SAMEORIGIN

三、IIS 配置(虚拟机专用)
配置 IIS 发送 X-Frame-Options 响应头,添加下面代码配置到 Web.config 文件中(如下图):

  1. <httpProtocol>
  2.     <customHeaders>
  3.       <add name="X-Frame-Options" value="SAMEORIGIN" />
  4.     </customHeaders>
  5.   </httpProtocol>

 

转载于:https://www.cnblogs.com/jackduan/p/9399473.html

anming1419
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全提示“X-Frame-Options头未设置”的解决方法
weixin_30882895的博客
04-19 641
漏洞检测提示“X-Frame-Options头未设置”,意思是网页可能被别人用iframe框架使用。事实上,我的网页已经通过js程序禁止被iframe框架嵌入使用了。不过,对于使用iis的网站来说,可以设置下iis,无需在网页里编写js代码,就能轻松实现网站的所有网页禁止被iframe框架嵌入使用。本文将给大家介绍iis如何设置禁止网页被iframe框架引用。 IIS6设置禁止网页被i...
低危漏洞- X-Frame-Options Header未配置
weixin_33935777的博客
03-02 646
http://blog.csdn.net/rightfa/article/details/50462887?locationNum=10   原文链接:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&amp;redirectslug=The_X-FRAME-OPTIONS_...
Web安全 之 X-Frame-Options响应头配置
yangye1225的博客
01-03 2万+
项目检测时,安全报告中存在 “X-Frame-Options” 响应头缺失问题,显示可能会造成跨帧脚本编制攻击,如下:    经过查询发现: X-Frame-Options:值有三个:   (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。   (2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展
IIS - 会话cookie中缺少HttpOnly属性
热门推荐
简单记录一下。
09-09 20万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选中图中节点,将httpOnlyCookies设置为true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnly 在Web.config中添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
cookie安全之HTTP -only
最新发布
Whatsoever1的博客
04-14 615
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的CookieHttpOnly属性。
安全问题-Cookie设置HttpOnly&&Cookie设置Secure标识
大河向东流的博客
10-24 1万+
阿里机测的系统漏洞(懒得打字,给报告部分截图): 问题解决: 过滤器处理一下就行了 CookieFilter.java import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Local...
第九节 cookiehttponly设置-01
09-15
CookieHttpOnly 设置详解 Cookie 是一种小型文本文件,由 Web 服务器保存在用户浏览器(客户端)上,用来存储用户信息。Cookie 通常用于辨别用户身份、进行 session 跟踪。Cookie 可以包含一些不敏感的信息,如...
cookie设置httpOnly和secure属性实现及问题
01-03
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
PHP设置CookieHTTPONLY属性方法
10-20
header("Set-Cookie: hidden=value; httpOnly"); ``` 总的来说,启用HTTPOnly属性可以有效提高网站的安全性,因为它阻止了JavaScript对敏感Cookie的访问,从而降低了XSS攻击的风险。但请注意,HTTPOnly并不能防止...
JS设置cookie、读取cookie
10-22
JavaScript设置和读取cookie是前端开发中常用的技术之一,主要功能是在用户的浏览器端存储小量的数据,常用于保存用户登录状态、个性化设置、网站访问偏好等。由于JavaScript运行在客户端,它不能直接操作服务器端的...
Secure;HttpOnly
wuzj1314的博客
07-21 381
具体来说,它使用正则表达式将原始的Set-Cookie标头捕获到的内容($1)放在新的Set-Cookie标头中,并在其后添加";这样做的目的是增加Cookie的安全性。在Apache的httpd.conf文件中,这个配置行的作用是编辑HTTP响应中的Set-Cookie标头(Header),将所有的Cookie设置为"Secure"和"HttpOnly"。"^"表示匹配字符串的开始,"$"表示匹配字符串的结束。HttpOnly":这是新的Cookie属性,将会添加到原始Set-Cookie标头的末尾。
常见漏洞
少说,多做。
10-22 5654
Cookie without HttpOnly flag set 如果在Cookie设置HttpOnly属性,则客户端JavaScript无法读取或设置Cookie的值。 这种措施通过阻止某些客户端攻击(例如跨站点脚本),通过阻止它们通过注入的脚本来简单地捕获cookie的值,使其利用起来略为困难。 robots.txt file robots.txt的存在本身并不表示任何类型的安全...
如何将cookiehttponly属性设置为true?(预防XSS攻击)
刘桂香263的博客
06-08 5739
cookie设置HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。
Cookie 中 相关HttpOnly属性的重要性
zy103118的博客
04-26 3849
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被
iis中cookie设置方法(三)
专栏
01-22 9689
另一种js存cookie的方法 : 页面存取cookie,后台存取cookie,iis中也不会出错 页面:存cookie      js:            function GridRowChanged(e)            {               var myCode= e.row.GetDataControllerRow().GetValueByFieldN
Cookie设置HttpOnly,Secure,Expire属性
怀揣梦想,努力前行
05-29 8万+
eclipese中创建Web工程时,有个
检测到会话cookie中缺少HttpOnly属性
u013894638的博客
08-05 8393
今日公司的很久前的宁夏项目被甲方拿去找专业的公司扫描漏洞,有一条是检测到会话cookie中缺少HttpOnly属性 意思大概是通过js可以获得用户的cookie信息从而进行攻击 更改方法: tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止Http
如何使用js-cookie设置cookiehttpOnly属性
03-23
可以使用以下代码来设置cookiehttpOnly属性: ```javascript // 设置cookie Cookies.set('name', 'value', { httpOnly: true }); // 获取cookie Cookies.get('name'); ``` 其中,`httpOnly`属性设置为`true`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值