漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头问题

最新推荐文章于 2024-03-17 06:23:46 发布
最新推荐文章于 2024-03-17 06:23:46 发布
阅读量6.6k 收藏 15
点赞数 1
分类专栏: Nginx 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heshuncheng/article/details/107512908
版权

缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头

用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头解决方式
在这里插入图片描述

解决方法

将下面内容添加到nginx.conf 文件http 结构下

# security headers
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src 'self' http: https://* data: blob: 'unsafe-eval' 'unsafe-inline';child-src 'none' " always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# . files
location ~ /\.(?!well-known) {
        deny all;
}
_hsc
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” 演示: 笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _SESSION,$ _ GET,$ _ POST,$ _ SERVER) 如果需要更可配置的解决方案,请使用或 添加“内容安全策略”-> 内容安全策略简介 不要写自己的正则表达式来解析HTML! 阅读此文本-> XSS(跨站点脚本)预防备忘单 测试此工具-> Zed攻击代理(ZAP) 通过“ composer require”安装 composer require voku/anti-xss 用法:
findom-xss:一个基于DOM的快速XSS漏洞扫描程序,非常简单
04-22
FinDOM-XSS FinDOM-XSS是一种工具,可让您快速找到可能的和/或潜在的基于DOM的XSS漏洞。 安装 $ git clone https://github.com/dwisiswant0/findom-xss.git --recurse-submodules 依赖项: 用法 要在目标上运行该工具,只需使用以下命令。 $ ./findom-xss.sh https://domain.tld/about-us.html 这将针对domain.tld运行该工具。 URL也可以通过管道传递到findom-xss并对其进行扫描。 例如: $ cat urls.txt | ./findom-xss.sh 第二个参数可用于指定输出文件。 $ ./findom-xss.sh https://domain.tld/about-us.html /path/to/output.txt
掌握X-Content-Type-Options的防护之力
todoitbo的博客
03-05 917
本文将深入探讨未设置X-Content-Type-Options的潜在风险,以及如何通过正确配置这一信息来确保用户代理以正确的方式呈现站点内容。通过生动的例子和实用的建议,帮助读者提高站点的安全性和内容一致性。
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 两种方法可以启用 CSP。一种是通过 HTTP 信息的`Content-Security-Policy`的字段。
关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法
暖风
01-05 2427
基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少s
检测到目标X-XSS-Protection响应缺失
lxyoucan的博客
07-15 2881
HTTP X-XSS-Protection 响应是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。X-XSS-Protection响应缺失使得目标URL更易遭受跨站脚本攻击。
【已解决】“X-Content-Type-Options缺失或不安全
专注于Java领域开发 关注我 带你玩转Java
06-16 1万+
“X-Content-Type-Options缺失或不安全
测试(绿盟)
weixin_43114209的博客
08-16 2527
测试(绿盟) 绿盟科技漏洞报告,IIS 修复 web.config 配置 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <requestLimits> &lt
Content-Security-Policy缺失或不安全
(ง •_•)ง
11-23 1万+
中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
常见四种“缺失或不安全问题
各自安好、的博客
07-27 8218
常见的缺失或不安全问题 1、“Content-Security-Policy缺失或不安全 2、“X-Content-Type-Options缺失或不安全 3、“X-XSS-Protection缺失或不安全 4、设置HTTP请求(X-Frame-Options) 解决办法: 定义过滤器,并在启动类中添加注入 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.htt
检测到目标X-Content-Type-Options响应缺失
lxyoucan的博客
07-15 3660
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击。
xpt:XPT-XSS多色测试仪
01-31
XPT-XSS多色测试仪 XPT是XSS多语言测试平台,可在不到1分钟的时间内在30多个环境中测试XSS多语言。 该项目使用Google Chrome无模式来测试XSS有效负载的执行情况。 在Debian上安装 # Install Google Chrome # ...
利用Express模拟web安全之---xss的攻与防
01-26
Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的, 还有另外一种...
Web低危漏洞之缺少“X-XSS-Protection的处理方法
weixin_42715225的博客
09-12 1万+
前言 xss攻击会导致网站的低危漏洞,需要进行防护 漏洞呈现 解决 方法一: PHP配置设置 在Header.php文件中添加如下内容: ··· … … header( “X-XSS-Protection: 1” ); … … ··· 方法二: nginx配置设置 ... ... server { ... ... add_header X-XSS-Protection 1; ... ... 结语 … … ...
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失等常用漏洞处理修复方法
最新发布
IT技术领域深耕10年+,北京大厂闯荡5年+
03-17 872
在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。strict-origin 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
常见四个“缺失或不安全问题
(ง •_•)ง
11-23 5518
常见的缺失或不安全问题: 1、“Content-Security-Policy缺失或不安全 2、“X-Content-Type-Options缺失或不安全 3、“X-XSS-Protection缺失或不安全 4、设置HTTP请求(X-Frame-Options) 解决方法: 中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.c...
IIS环境检测到网站存在响应X-XSS-Protection\X-Frame-Options\X-Content-Type-Options漏洞解决办法
Zola的博客
06-01 1462
4、检测到目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应缺失 IIS设置。1、检测到目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测到目标X-XSS-Protection响应缺失
网站低危漏洞通过伪静态功能处理方法
wwwwestcn的博客
07-12 158
-检测到目标X-Permitted-Cross-Domain-Policies响应缺失-->--检测到目标Strict-Transport-Security响应缺失-->--检测到目标Content-Security-Policy响应缺失-->--检测到目标X-Content-Type-Options响应缺失-->--检测到目标X-Download-Options响应缺失-->--检测到目标X-XSS-Protection响应缺失-->--点击劫持:X-Frame-Options未配置-->
HTTP响应之X-Frame-Options, X-XSS-Protection
热门推荐
公众号shadow sock7
03-18 2万+
X-Frame-Options: DENY由于在iframe.html中<!DOCTYPE html> <html> <head> <title>iframe</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-sca
x-Content-Security-Policy java配置
07-28
- *1* [检测到目标X-Content-Type-Options X-XSS-Protection Content-Security-Policy 等响应缺失解决办法](https://blog.csdn.net/a694704123b/article/details/126896011)[target="_blank" data-report-click=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值