检测到目标X-Permitted-Cross-Domain-Policies响应头缺失

最新推荐文章于 2023-11-03 11:56:13 发布
最新推荐文章于 2023-11-03 11:56:13 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxyoucan/article/details/131730313
版权

详细描述

Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。 当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。很有可能有些开发者并没有修改 crossdomain.xml 文件的权限,但是又有和跨域的 Flash 共享数据的需求,这时候可以通过设置 X-Permitted-Cross-Domain-Policies 头的方式来替代 crossdomain.xml 文件,其可选的值有: none master-only by-content-type by-ftp-filename all 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

解决办法

1)修改服务端程序,给 HTTP 响应头加上 X-Permitted-Cross-Domain-Policies 如果是 java 服务端,可以使用如下方式添加 HTTP 响应头 response.setHeader(“X-Permitted-Cross-Domain-Policies”, “value”) 如果是 php 服务端,可以使用如下方式添加 HTTP 响应头 header(“X-Permitted-Cross-Domain-Policies: value”) 如果是 asp 服务端,可以使用如下方式添加 HTTP 响应头 Response.AddHeader “X-Permitted-Cross-Domain-Policies”, “value” 如果是 python django 服务端,可以使用如下方式添加 HTTP 响应头 response = HttpResponse() response[“X-Permitted-Cross-Domain-Policies”] = “value” 如果是 python flask 服务端,可以使用如下方式添加 HTTP 响应头 response = make_response() response.headers[“X-Permitted-Cross-Domain-Policies”] = “value”;
2)修改负载均衡或反向代理服务器,给 HTTP 响应头加上 X-Permitted-Cross-Domain-Policies 如果使用 Nginx、Tengine、Openresty 等作为代理服务器,在配置文件中写入如下内容即可添加 HTTP 响应头: add_header X-Permitted-Cross-Domain-Policies value; 如果使用 Apache 作为代理服务器,在配置文件中写入如下内容即可添加 HTTP 响应头: Header add X-Permitted-Cross-Domain-Policies “value”。

实战

X-Permitted-Cross-Domain-Policies:none

详情参考:
https://blog.csdn.net/lxyoucan/article/details/131725900

参考

https://www.sentrium.co.uk/labs/application-security-101-http-headers

ITKEY_
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RHAdditions:多年来为我服务的各种Objective-C类别和附加功能
05-01
All rights reserved.Redistribution and use in source and binary forms, with or withoutmodification, are permitted provided that the following conditionsare met:1. Redistributions of source code must ...
关于nginx HTTP安全响应问题
liwan09的博客
04-20 8421
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
第九节Windows等保测评服务器配置修改
最新发布
zjltianxin的博客
11-03 918
5.1.tomcat禁用3DES和DES算法:
nodejs提示:cross-device link not permitted, rename错误的解决方法
10-16
主要给大家介绍了关于nodejs提示:cross-device link not permitted, rename错误的解决方法,文中通过示例代码介绍的非常详细,对大家学习或者使用nodejs具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
ik-analyzer-8.5.0-jar
02-15
该资源为ik-analyzer-8.5.0-jar,欢迎下载学习使用哦!
nuxt-helmet:Nuxt的
04-28
nuxt的盔 与Nuxt.js轻松集成 通过设置各种HTTP标来帮助您保护Nuxt应用程序。 默认情况下, 将设置X-DNS-Prefetch-Control , X-Frame-Options , Strict-Transport-Security , X-Download-Options , Expect-Ct , Referrer-Policy和X-Content-Type-Options标。 此外,该模块还将默认设置X-Permitted-Cross-Domain-Policies。 | 设置 将带有yarn或npm nuxt-helmet依赖项添加到您的项目中 添加nuxt-helmet在年初modules的部分nuxt.config.js 配置它: { modules : [ 'nuxt-helmet' //...other mo
详解Linux下Nginx+Tomcat整合的安装与配置
09-15
本篇文章主要介绍了Linux下Nginx+Tomcat整合的安装与配置,具有一定的参考价值,有兴趣的可以了解一下。
安全
weixin_34273046的博客
05-23 1409
2019独角兽企业重金招聘Python工程师标准>>> ...
使用nginx处理的一些安全漏洞
fanggeyan的博客
07-19 7472
nginx.conflocation根据项目路径配置(实际就是把/替换为/;负载也会产生一条set-cookies信息,upstreamroute后加上SecureHttpOnly。控制referer来源,例如非192.168.41网段地址返回403错误。nginx.conflocation添加。nginx.conflocation设置。nginx.confserver下配置。nginx.confhttp添加。nginxlocation配置。......
lighttpd http响应报文(Response)增加安全Referrer-Policy和X-Permitted-Cross-Domain-Policies方法
wgl307293845的博客
10-28 3193
lighttpd http响应报文(Response)增加安全Referrer-Policy和X-Permitted-Cross-Domain-Policies方法
power-cat:我的PowerShell配置文件和脚本
05-18
强力猫 我的PowerShell配置文件和脚本。 仅支持Windows。 描述 使用资料 Windows PowerShell和PowerShell Core: $path = ' your ...Everyone is permitted to copy and distribute verbatim or modified co
关于npm安装vue-cli错误问题
01-08
{ Error: EPERM: operation not permitted, unlink ‘C:\Users\GXP300\AppData\Roaming\npm\node_modules.staging\typescript-886383bb\lib\tsserverlibrary.js’ npm ERR! errno: -4048, npm ERR! code: ‘EPERM...
iOS-WebViewProxyKit:该软件向您展示如何为 UIWebview 设置代理
07-10
iOS-WebViewProxyKit关于本软件基于教你如何设置UIWebview的代理执照 DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE Version 2, December 2004 Copyright (C) 2014 Edward Zhan <zhanleewo> Everyone is permitted ...
vue-cli.jpeg
09-10
vue-cli 创建项目vue init webpack myproject时报错: vue-cli · Failed to download repo vuejs-templates/webpack: EPERM: operation not permitted, utime '/Users/userName/.vue-templates/webpack/.circleci'
网站安全响应缺失和php配置漏洞
春秋一阕任琦行
09-10 5138
最近给学校做网站,被查出各种响应缺失的 低危漏洞 和 一些配置漏洞,还有一些需要https的配置。。。。。 php.ini 中修改 expose_php off // php彩蛋信息泄露 session.cookie_httponly=true // cookie没有设置httponly属性 PHP 配置 header("X-Frame-Options:SAMEO...
关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header配置安全处理方法
暖风
01-05 2539
基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少s
跨域策略文件crossdomain.xml的配置方法
热门推荐
蝈蝈的博客
12-06 4万+
一、crossdomain.xml文件的作用    跨域,顾名思义就是需要的资源不在自己的域服务器上,需要访问其他域服务器。跨域策略文件是一个xml文档文件,主要是为web客户端(如Adobe Flash Player等)设置跨域处理数据的权限。打个比方说,公司A部门有一台公共的电脑,里面存放着一些资料文件,专门供A部门内成员自己使用,这样,A部门内的员工就可以访问该电脑,其他部门人员则不允许访问。
Apache中设置X-Permitted-Cross-Domain-Policies响应
05-26
在Apache中设置X-Permitted-Cross-Domain-Policies响应可以通过修改服务器配置文件或者添加.htaccess文件来实现。 1. 修改服务器配置文件: 在Apache的配置文件中,使用以下代码设置X-Permitted-Cross-Domain-Policies响应: ``` Header set X-Permitted-Cross-Domain-Policies "none" ``` 2. 添加.htaccess文件: 如果您无法修改服务器配置文件,可以在站点目录中创建一个名为.htaccess的文件,并将以下代码添加到其中: ``` Header set X-Permitted-Cross-Domain-Policies "none" ``` 确保您的服务器已启用mod_headers模块,否则这些设置将无效。您可以通过运行以下命令来检查是否已启用该模块: ``` sudo a2enmod headers ``` 然后重启Apache服务器以使更改生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值