漏洞问题:
1、X-Frame-Options Header 未配置
2、缺少Strict-Transport-Security标头
3、缺少Content-Security-Policy标头
4、缺少“X-XSS-Protection”头
解决方案:
1、在nginx的server、http或者location中添加如下配置:
add_header X-Frame-Options SAMEORIGIN;
2、在nginx的server、http或者location中添加如下配置:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
3、在nginx的server、http或者location中添加如下配置:
如果想要放开域名限制,可以使用*;如果只想放开某个或某些域名的访问,则将*替换为指定的域名,域名之间用空格隔开。
add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-eval' blob: data: ;";
add_header Content-Security-Policy "default-src 'self' baidu.com google.com.cn 'unsafe-inline' 'unsafe-eval' blob: data: ;";
4、在nginx的server、http或者location中添加如下配置:
add_header X-XSS-Protection 1;
参考:
X-Frame-Options响应头配置详解:https://blog.csdn.net/u014704612/article/details/115633050
前端安全配置之Content-Security-Policy(csp):https://www.cnblogs.com/heyuqing/p/6215761.html