网站安全响应头缺失和PHP配置漏洞

最新推荐文章于 2023-12-07 15:04:57 发布
最新推荐文章于 2023-12-07 15:04:57 发布
阅读量508 收藏 2
点赞数
分类专栏: PHP 文章标签: php 安全 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhihua0625/article/details/122000872
版权

https://blog.csdn.net/u014157384/article/details/100701740

php.ini 中修改

expose_php off    //  php彩蛋信息泄露
session.cookie_httponly=true  //  cookie没有设置httponly属性

PHP 配置

header("X-Frame-Options:SAMEORIGIN;");  // X-Frame-Options 响应头缺失
header("Referer-Policy:origin;");//Referer-Policy 响应头缺失
header("Content-Security-Policy:frame-ancestors 'self';");//Content-Security-Policy 响应头缺失
header("X-Permitted-Cross-Domain-Policies:'master-only';");//X-Permitted-Cross-Domain-Policies 响应头缺失
header("X-XSS-Protection:1; mode=block;");//X-XSS-Protection 响应头缺失
header("X-Download-Options: SAMEORIGIN;");//X-Download-Options 响应头缺失
header("X-Content-Type-Options:nosniff;");//X-Content-Type-Options 响应头缺失
header("Strict-Transport-Security:max-age=31536000;");//Strict-Transport-Security 响应头缺失

Nginx 配置

add_header X-Frame-Options SAMEORIGIN;
add_header Referer-Policy origin;
add_header Content-Security-Policy "frame-ancestors 'self'";
add_header X-Permitted-Cross-Domain-Policies  "master-only";
add_header X-XSS-Protection "1; mode=block;";
add_header X-Download-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header Strict-Transport-Security max-age=31536000;

httpd.conf
添加

LoadModule headers_module modules/mod_headers.so
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

禁止目录访问
http://blog.itpub.net/69926532/viewspace-2646821/

Options None
puamac
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
响应网站+数据库.zip
07-01
响应网站有登陆注册功能可以上传像修改昵称性别电子邮件自动缩放和图标响应
PHP获取短链接跳转后的真实地址和响应信息的方法
10-25
主要介绍了PHP获取短链接跳转后的真实地址和响应信息的方法,本文使用get_headers函数实现,需要的朋友可以参考下
网站安全响应缺失php配置漏洞
春秋一阕任琦行
09-10 5127
最近给学校做网站,被查出各种响应缺失的 低危漏洞 和 一些配置漏洞,还有一些需要https的配置。。。。。 php.ini 中修改 expose_php off // php彩蛋信息泄露 session.cookie_httponly=true // cookie没有设置httponly属性 PHP 配置 header("X-Frame-Options:SAMEO...
关于nginx HTTP安全响应问题
liwan09的博客
04-20 8347
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
部分绿盟低风险错误解决办法:
yjfkeifk的博客
06-11 3248
使用绿盟进行安全检测,经常会出现: 检测到目标X-Content-Type-Options响应缺失   检测到目标X-XSS-Protection响应缺失   检测到目标Content-Security-Policy响应缺失   检测到目标Strict-Transport-Security响应缺失   检测到目标Referrer-Policy响应缺失   检测到目标X-Permitted-Cross-Domain-Policies响应缺失   检测到目标X-Download-Options响应
第九节Windows等保测评服务器配置修改
zjltianxin的博客
11-03 823
5.1.tomcat禁用3DES和DES算法:
安全渗透测试解决方法以及使用nginx进行解决
qq_45621643的博客
12-07 1027
线上安全环境维护
CISA网络安全事件和漏洞响应手册.pdf
11-17
以识别、协调、补救、...基于从以往事件中汲取的经验教训并结合行业最佳实践,CISA 打算通过标准化共享实践,将最佳的人员和流程整合在一起以推动协调一致的行动,从而使这个手册有效提升联邦政府的网络安全响应实践。
基于PHP响应式数据信息安全网站.zip
最新发布
04-19
基于PHP响应式数据信息安全网站.zip
《网络安全事件和漏洞响应手册》.pdf
06-18
《网络安全事件和漏洞响应手册》.pdf
HTTP 响应信息
01-08
HTTP 响应信息 HTTP请求提供了关于请求,响应或者其他的发送实体的信息。 在本章节中我们将具体来介绍HTTP响应信息。 应答 说明 Allow 服务器支持哪些请求方法(如GET、POST等)。 Content-Encoding 文档的编码(Encode)方法。只有在解码之后才可以得到Content-Type指定的内容类型。利用gzip压缩文档能够显著地减少HTML文档的下载时间。Java的GZIPOutputStream可以很方便地进行gzip压缩,但只有Unix上的Netscape和Windows上的IE 4、IE 5才支持它。因此,Servlet应
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11 3856
如果需要找的漏扫问题,可以在评论区发言,我看到就会回复。 检测到目标X-Content-Type-Options响应缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测到目标Referrer-Policy响应缺失 add_header 'Referrer-Policy' 'origin'; 检测到目标X-XSS-Protection响应缺失 add_
响应缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 6220
web安全响应
配置安全问题学习小结
dayouzi的博客
09-06 4871
此文主要是针对扫描器常见的一些配置漏洞的概述及如何修复的一些建议。
使用nginx处理的一些安全漏洞
fanggeyan的博客
07-19 7447
nginx.conflocation根据项目路径配置(实际就是把/替换为/;负载也会产生一条set-cookies信息,upstreamroute后加上SecureHttpOnly。控制referer来源,例如非192.168.41网段地址返回403错误。nginx.conflocation添加。nginx.conflocation设置。nginx.confserver下配置nginx.confhttp添加。nginxlocation配置。......
安全扫描出现的响应缺失安全问题汇总
次日清晨的博客
07-12 2938
解决安全漏洞:检测到目标服务器启用了OPTIONS方法 点击劫持:X-Frame-Options未配置 检测到目标Referrer-Policy响应缺失 Content-Security-Policy响应确实 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Content-Type-Options响应缺失 检测到目标X-XSS-Protection响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Op.
检测到目标X-Permitted-Cross-Domain-Policies响应缺失
lxyoucan的博客
07-19 3099
Web 服务器对于 HTTP 请求的响应中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。
tomcat漏洞修复
m0_61069946的博客
03-19 4344
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。Web 服务器对于 HTTP 请求的响应中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。漏洞危害: Web 服务器对于 HTTP 请求的响应中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 7936
host攻击漏洞,点击劫持漏洞,X-Download-Options响应缺失,X-Permitted-Cross-Domain-Policies响应缺失,Referrer-Policy响应缺失,Strict-Transport-Security响应缺失,Content-Security-Policy响应缺失,X-XSS-Protection响应缺失,X-Content-Type-Options响应缺失,会话cookie中缺少HttpOnly属性......
HTTP安全响应 Permissions-Policy 字段缺失
07-28
对于缺失 Permissions-Policy 字段的情况,您可以通过在 HTTP 响应中添加该字段来设置权限策略。Permissions-Policy 字段用于指定浏览器对页面的限制和安全策略。 您可以在 HTTP 响应中添加以下内容来设置 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值