关于网站csp(Content Security Policy)以及过滤服务器敏感信息的设置问题

最新推荐文章于 2024-07-01 21:19:57 发布
最新推荐文章于 2024-07-01 21:19:57 发布
阅读量4.2k 收藏 2
点赞数 1
分类专栏: 服务器配置 文章标签: csp 禁止敏感信息泄露 网站安全防范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/foren_whb/article/details/87176902
版权

最近一个客户通过专业工具扫描网站,发现了几个低等级的安全问题,其中有csp安全设置缺乏,http请求表头返回敏感信息未处理,跨站攻击防范未处理等,要求我们予以修复。

说实话,这类事情,国内很多人都没听说过,因为没人重视,也可能是有些人刻意为之的缘故吧,否则那些广告联盟的饭就不好吃了。。。。

废话少说,现在就把处理的过程简单记录下来:

首先是在网站配置文件里添加如下节点,用于csp设置,下面的例子设置为最严防范

<system.web>
  ...
  <httpRuntime enableVersionHeader="false" />
  <system.webServer>
    ...
    <httpProtocol>
      <customHeaders>
        <add name="X-Frame-Options" value="SAMEORIGIN" />        
        <add name="Content-Security-Policy" value="default-src 'self'; style-src 'self' 'unsafe-inline';  media-src *; script-src 'self' 'unsafe-eval' 'unsafe-inline'; img-src 'self'"/>
      </customHeaders>
    </httpProtocol>
  </system.webServer>
</system.web>

然后是禁止iis返回服务器敏感信息,网上查了N种方法,都不行,要么是过时了,要么是没有效果,要么是应用范围比较窄。。。

最后同事在github上发现了一个开源的项目,可以轻松解决这个问题,现在也贴出来:

StripHeaders 项目入口

下载StripHeaders安装文件(.msi)

我们只要下载msi文件点击安装,然后重启iis就可以了。

做完之后,再打开网站,就会看到,所有返回的请求头里,server信息以及X-Powered-By、X-AspNet-Version、X-AspNetMvc-Version等都消失了,并且csp也正确反馈出来了。

注意:如果没有效果,或是页面报错了,可能是系统用户权限不足,需要手动注册一下这个StripHeaders。

可以用管理员权限打开命令行窗口,执行如下命令:

C:\Windows\System32\inetsrv\appcmd.exe install module /name:StripHeadersModule /image:%windir%\system32\inetsrv\stripheaders.dll /add:true /lock:true

然后再重启IIS服务,就可以了。

 

 

丰云
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 807
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
前端安全配置之Content-Security-Policy(csp)
weixin_30326745的博客
12-23 1984
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。 有什么用? 我们知道前端有个很著名的”同源策略”,...
漏洞修复:检测到目标Content-Security-Policy响应头缺失
最新发布
yjfkeifk的博客
07-01 1130
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy
【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 1697
4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应头缺失 IIS设置。1、检测到目标X-Content-Type-Options响应头缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测到目标X-XSS-Protection响应头缺失。
HTTP响应头未设置Content-Security-Policy
weixin_46356409的博客
01-18 2945
当HTTP响应头未设置Content-Security-Policy’时,表示服务器没有为网页设置内容安全策略(Content Security PolicyCSP)。通过设置内容安全策略,可以限制浏览器加载哪些类型的资源,从而提高网站安全性。网站容易受到XSS攻击:如果没有设置内容安全策略,攻击者可以在网站上注入恶意脚本,从而窃取用户信息、篡改网页内容或进行其他恶意操作。网站性能可能受到影响:如果没有设置内容安全策略,浏览器需要下载和执行所有类型的资源,这可能会导致网站性能下降。
配置IIS
csp123258的专栏
01-08 961
设置IIS服务 1)、进入控制面板-&gt;程序和功能-&gt;启动或关闭Windows功能         2)、勾选上Internet Explorer11 和 Internet Information Services         3)、配置IIS:右键我的电脑-&gt;管理-&gt;服务和应用程序-&gt;Internet Information Services(IIS...
CSP 内容安全策略, 介绍, 配置CSP策略, CSP实战绕过
探测???
11-06 4093
CSP(内容安全策略)是一种额外的安全层,可以帮助检测和减轻某些类型的攻击,如跨站脚本攻击(XSS)和数据注入攻击。CSP允许网站管理员定义哪些动态资源允许执行和加载,有助于防止恶意脚本执行以及非授权内容的加载。通过使用HTTP头部,网站可以控制用户代理如何执行页面的特定部分,这可以显著减少XSS攻击的风险。default-src:设置默认加载资源的策略(例如,自身的源、任何地方的源、或者不加载任何外部资源)。
content-security-policy.com:content-security-policy.com网站的源代码
04-27
`content-security-policy.com`是一个专门介绍CSP网站,其源代码提供了关于如何实施和配置CSP的实例和教学资源。通过研究这个网站的源代码,我们可以深入了解CSP的实践应用。 首先,让我们来看看CSP的基本概念: ...
使用Content Security Policy (CSP) 防范XSS攻击
跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的Web安全漏洞,攻击者通过向目标网页注入恶意脚本来获取用户的敏感信息或者执行恶意操作。XSS攻击的危害非常严重,可能导致用户的个人信息泄露、账号被盗取、...
Content Security Policy (CSP) 介绍
hyun134340的博客
01-07 404
这种平时常见的写法,也属于内联的脚本,是需要改造的。还有种特殊的指令 default-src,如果指定了它的值,则相当于改变了这些未指定的指令的默认值。可以理解为,上面 img-src 如果没指定,本来其默认值是 *,可以加载所有来源的图片,但设置 default-src 后,默认值就成了 default-src 指定的值。CSP 提供了一种报告模式,该模式下资源不会真的被限制加载,只会对检测到的问题进行上报 ,以 JSON 数据的形式发送到 report-uri 指定的地方。
iis_stripheaders_module_1.0.5.msi
07-05
彻底移除 IIS Response Header 版本信息,安装插件,清除缓存,即可完美实现。切记清除缓存!!!
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 3277
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
检测到目标Content-Security-Policy响应头缺失
lxyoucan的博客
07-14 2036
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。
第七章 CSP 架构 - URL 的 Web 服务器配置
yaoxin521123的博客
10-06 524
物理目录(如果选择从 Web 服务器提供静态文件,则可以在其中存储静态文件(例如。如果计划允许使用以 http://localhost/csp 或 http//localhost/cacheinstance/csp 开头的应用程序路径调用所有。都在同一台机器上运行(例如,在应用程序开发期间建议),那么两者可能会巧合地在同一位置查找静态和。服务器定义的虚拟目录或虚拟目录的子目录。服务器会在为虚拟目录定义的物理目录中查找静态文件(例如。的子目录)的请求都发送到本地 安装的方式。应用程序,如果新应用程序的。
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5844
内容安全策略CSP安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
Web 安全之内容安全策略详解(Content-Security-Policy,CSP
热门推荐
乌龙茶不甜的博客
04-27 1万+
1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(2.CSP 使用方式 CSP可以由两种方式指定: HTTP Header 和 HTML。 通过定义在HTTP header 中使用: "Content-Security-Policy:" 策略集 通过定义在 HTML me
Content Security Policy设置
阳光
06-06 5205
Content Security Policy (CSP) 是一种加固 Web 应用的安全性的技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。其中 script-src 只允许本网站和 example.com 的脚本加载,img-src 只允许本网站和 data: URI 的图片加载,style-src 只允许本网站和内联样式加载,font-src 只允许本网站和 example.com 的字体加载。请根据实际情况进行调整。
与http头安全相关的安全选项
hl1293348082的专栏
04-10 895
由于HTTP是一个可扩展的协议,各浏览器厂商都率先推出了有效的头部,来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么,掌握如何应用,可以提高系统的安全性。 下面就简单介绍一下这些安全头的含义以及效果。 X-Frame-Options X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>,<iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值