IIS环境检测到网站存在响应头X-XSS-Protection\X-Frame-Options\X-Content-Type-Options漏洞解决办法

最新推荐文章于 2024-07-29 10:22:49 发布
最新推荐文章于 2024-07-29 10:22:49 发布
阅读量5.4k 收藏 8
点赞数 2
文章标签: xss 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyb3280660/article/details/126276444
版权

IIS环境下的网站存在响应头缺失漏洞如下

1、检测到目标X-Content-Type-Options响应头缺失

2、检测到目标X-XSS-Protection响应头缺失

3、检测到目标Content-Security-Policy响应头缺失  IIS设置

4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失  重新配置IIS

5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS

6、点击劫持:X-Frame-Options未配置  重新配置IIS

解决方案一:在站点根目录创建web.config文件,内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <!--检测到目标X-Content-Type-Options响应头缺失-->
                <add name="X-Content-Type-Options" value="nosniff" />
                <!--检测到目标X-XSS-Protection响应头缺失-->
                <add name="X-XSS-Protection" value="1" />
                <!--检测到目标Content-Security-Policy响应头缺失-->
                <!-- <add name="Content-Security-Policy" value="default-src 'self'" /> -->
                <!--检测到目标Strict-Transport-Security响应头缺失-->
                <add name="Strict-Transport-Security" value="max-age=31536000" />
                <!--检测到目标Referrer-Policy响应头缺失-->
                <add name="Referrer-Policy" value="origin-when-cross-origin" />
                <!--检测到目标X-Permitted-Cross-Domain-Policies响应头缺失-->
                <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
                <!--检测到目标X-Download-Options响应头缺失-->
                <add name="X-Download-Options" value="noopen" />
                <!--点击劫持:X-Frame-Options未配置-->
                <add name="X-Frame-Options" value="deny" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

解决方案二:打开IIS,点击站点,右侧选择"HTTP响应标头”,点键添加即可

 

 

hyb3280660
关注
检测目标X-XSS-Protection响应缺失【低危】
战神/calmness的博客
08-31 5957
目录 简介 过程 建议 简介 HTTP X-XSS-Protection 响应是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。 过程 打开网页抓包流量查看流量包信息 建议 增加X-XSS-Protection配置情况进行漏洞验证 ...
服务器HTTP响应安全性优化与漏洞修复方案
最新发布
Bertram的博客
08-09 470
服务器HTTP响应安全性优化与漏洞修复方案
测试(绿盟)
hello.reader
08-16 2614
测试(绿盟) 绿盟科技漏洞报告,IIS 修复 web.config 配置 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <requestLimits> &lt
检测目标X-Content-Type-Options响应缺失
lxyoucan的博客
07-15 6269
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击。
【已解决】IIS环境检测网站存在响应缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 1973
4、检测目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测目标Content-Security-Policy响应缺失 IIS设置。1、检测目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测目标X-XSS-Protection响应缺失
网站扫描出的漏洞解决:检测目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 6706
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
【云原生技术】- 安全容器隔离技术:安全隔离、性能隔离、故障隔离
wangluoanquan111的博客
03-26 1874
在容器化和微服务架构中,“安全隔离”、“性能隔离” 和 “故障隔离” 是三个关键概念,它们是确保系统稳定、安全和高效运行的重要方面。
未设置Strict-Transport-Security响应【原理扫描】
tone1128的博客
07-12 1514
1.webconfig中添加响应
如何解决响应缺失漏洞解决
zz_1231的博客
10-15 6744
测试抓包扫出有响应缺失漏洞,先给出解决方案,下面再详细解释每个漏洞。 public class ResponseHeadFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } public void doFilter(ServletRequest request, ServletResponse response...
Vulhub —— MERCY-v2 实战
战神/calmness的博客
12-24 1605
目录 目标 环境 过程 信息收集 nmap扫描 访问8080端口页面 目录遍历 dirb gobuster manager页面 扫描nikto 枚举 用户enum4linux 版本信息 搜索tomcat 漏洞 访问共享 搜索漏洞rips 0.53 文件包含 配置信息tomcat7/tomcat-users.xml 获得用户名和密码 文件上传 获取shell 信息扫描 LinEnum.sh扫描到的用户: linux-exploit-suggester.sh 收集
ecw2c理解元数据:使用BigQuery k-means将4,000个堆栈溢出标签聚类
热门推荐
cunehu1722的博客
07-24 6万+
您如何将超过4,000个活动的Stack Overflow标签分组为有意义的组? 对于无监督学习和k均值聚类来说,这是一项完美的任务-现在您可以在BigQuery中完成所有这些工作。 让我们找出方法。 Visualizing a universe of clustered tags. Felipe Hoffais a Developer Advocate fo...
iis日志分析查看工具
04-05
Lookup) cs(X-Content-Duration) cs(X-Content-Length) cs(X-Content-Type-Options) cs(X-Frame-Options) cs(X-MS-AutoConfig-Referrer) cs(X-MS-Edge-Ref) cs(X-MS-InvokeApp) cs(X-MS-User-Agent) cs(X-UA-...
检测目标X-XSS-Protection响应缺失
lxyoucan的博客
07-15 4674
HTTP X-XSS-Protection 响应是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。X-XSS-Protection响应缺失使得目标URL更易遭受跨站脚本攻击。
检测到系统有X-Content-Type-Options响应缺失
hzjhss的博客
09-03 2296
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件。apache的解决办法
【已解决】“X-Content-Type-Options缺失或不安全
wangluoanquan111的博客
03-25 1615
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
HTTP响应使用X-XSS-Protection检查 漏洞修复方案
zengliguang的专栏
07-29 1102
并不能完全解决所有的 XSS 问题,它只是提供了一种额外的防御机制。同时,及时更新浏览器和服务器软件,以修复可能存在的安全漏洞也是非常重要的。响应的 HTTP 响应时,会根据其值来启用内置的 XSS 过滤器,并在检测到反射性 XSS 攻击时采取相应的措施,如清理页面或阻止页面加载等。响应,可以在服务器的配置文件中进行相应的添加。虽然这些保护在现代浏览器中基本上不是必需的,因为网站可以实施一个强大的。),但对于尚不支持 CSP 的旧版浏览器的用户,这样,当浏览器收到带有上述。仍然可以提供一定的保护。
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01 3638
安全修复之Web——HTTP X-Content-Type-Options缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:...
tomcat8怎么解决X-XSS-Protection,X-Content-Type-Options漏洞
12-07
根据提供的引用内容,X-XSS-Protection和X-Content-Type-Options都是用来防范XSS攻击的响应。其中,X-XSS-Protection可以关闭或启用XSS保护,而X-Content-Type-Options可以防止浏览器将响应内容解释为MIME类型不正确的脚本。下面是Tomcat8如何解决这两个漏洞的方法: 1. 解决X-XSS-Protection漏洞 在Tomcat8中,可以通过修改web.xml文件来添加X-XSS-Protection响应。具体步骤如下: - 打开Tomcat8的web.xml文件,路径为:$CATALINA_HOME/conf/web.xml。 - 在文件中找到以下代码块: ```xml <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` - 在该代码块中添加以下代码: ```xml <init-param> <param-name>xssProtectionEnabled</param-name> <param-value>true</param-value> </init-param> ``` - 保存并关闭文件,重启Tomcat8即可。 2. 解决X-Content-Type-Options漏洞 在Tomcat8中,可以通过修改web.xml文件来添加X-Content-Type-Options响应。具体步骤如下: - 打开Tomcat8的web.xml文件,路径为:$CATALINA_HOME/conf/web.xml。 - 在文件中找到以下代码块: ```xml <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` - 在该代码块中添加以下代码: ```xml <init-param> <param-name>antiClickJackingEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> ``` - 保存并关闭文件,重启Tomcat8即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值