nginx漏扫响应头缺失

最新推荐文章于 2024-04-25 11:00:00 发布
最新推荐文章于 2024-04-25 11:00:00 发布
阅读量2.4k 收藏 4
点赞数
分类专栏: Linux/windows系统问题解决 文章标签: 运维 linux nginx
原文链接:https://www.csdn.net/tags/NtTagg2sNDQzMTYtYmxvZwO0O0OO0O0O.html
版权

一、漏扫出现问题

检测到目标X-Content-Type-Options响应头缺失

add_header 'Referrer-Policy' 'origin';

检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样

检测到目标Referrer-Policy响应头缺失

add_header 'Referrer-Policy' 'origin';

检测到目标X-XSS-Protection响应头缺失

add_header X-Xss-header  “1;mode=block”;

检测到目标X-Download-Options响应头缺失

add_header X-Download-Options "noopen" always;

检测到目标Strict-Transport-Security响应头缺失

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

检测到目标Content-Security-Policy响应头缺失

add_header X-Frame-Options SAMEORIGIN;

检测到目标X-Permitted-Cross-Domain-Policies响应头缺失

header("X-Permitted-Cross-Domain-Policies:'master-only';");

点击劫持:X-Frame-Options未配置

add_header X-Frame-Options SAMEORIGIN;

二、nginx.conf

http当中添加server_tokens off;
替换对应的站点域名;


#user  nobody;
worker_processes 4;
#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
#pid        logs/nginx.pid;
events {
     worker_connections 40960;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';
    #access_log  logs/access.log  main;
     sendfile  on;
    #tcp_nopush     on;
    #keepalive_timeout  0;
     keepalive_timeout 65;

     server_tokens off;

server {
        listen        8080;
        server_name  *.demo.com;
        root   "/www/demo";

        location / {
            index index.php index.html error/index.html;
            error_page 400 /error/400.html;
            error_page 403 /error/403.html;
            error_page 404 /error/404.html;
            error_page 500 /error/500.html;
            error_page 501 /error/501.html;
            error_page 502 /error/502.html;
            error_page 503 /error/503.html;
            error_page 504 /error/504.html;
            error_page 505 /error/505.html;
            error_page 506 /error/506.html;
            error_page 507 /error/507.html;
            error_page 509 /error/509.html;
            error_page 510 /error/510.html;
            include D:/phpstudy_pro/WWW/8100ktc/nginx.htaccess;
            autoindex  off;
        }
        location ~ \.php(.*)$ {
            fastcgi_pass   127.0.0.1:9007;
            fastcgi_index  index.php;
            fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            fastcgi_param  PATH_INFO  $fastcgi_path_info;
            fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
            include        fastcgi_params;
        }
        add_header X-Content-Type-Options nosniff;
        add_header 'Referrer-Policy' 'origin';
        add_header X-Download-Options "noopen" always;
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        add_header X-Permitted-Cross-Domain-Policies  "master-only";
        add_header X-Frame-Options SAMEORIGIN;
        add_header Content-Security-Policy "default-src 'self' data: *.xxx.com  'unsafe-inline' 'unsafe-eval' mediastream: ";
        add_header X-Content-Type-Options: nosniff;
        add_header X-XSS-Protection "1; mode=block";
        # proxy_hide_header  X-Powered-By;
	}
BK_小小关
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【已解决】“Content-Security-Policy缺失
专注于Java领域开发 关注我 带你玩转Java
06-16 9631
【已解决】“Content-Security-Policy缺失
koa-csp:用于设置响应Content-Security-Policy
02-03
koa-csp 这是Koa2中间件,用于设置响应Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ) ) ; // It is equivalent to app . use ( csp ( { enableWarn : true , policy : { 'default-src' : [ 'self' ]
关于nginx HTTP安全响应问题
最新发布
qq_44005305的博客
04-25 793
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
检测目标Content-Security-Policy响应缺失
lxyoucan的博客
07-14 1787
HTTP 响应Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。Content-Security-Policy响应缺失使得目标URL更易遭受跨站脚本攻击。
网站扫描出的漏洞解决:检测目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 2538
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
web安全测试之appscan – “Content-Security-Policy缺失或不安全
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含Content-Security-Policy请求header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
热门推荐
baiyongliang
05-23 2万+
简单的配置方式:Content-Security-Policy,X-Frame-Options未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
Nginx 操作响应信息的实现
09-29
主要介绍了Nginx 操作响应信息的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解nginx请求数据读取流程
09-29
主要介绍了详解nginx请求数据读取流程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Nginx记录分析响应慢的请求及替换网站响应内容的配置
09-30
主要介绍了Nginx记录分析响应慢的请求及替换网站响应内容的配置,分别用到了ngx_http_log_request_speed模块和ngx_http_sub_module模块,需要的朋友可以参考下
关闭nginx空主机 防止nginx空主机及恶意域名指向
09-30
nginx的默认配置中的虚拟主机允许用户通过IP访问,或者通过未设置的域名访问,比如有人恶意把他自己的域名指向了你的ip,需要的朋友可以参考下
Content-Security-Policy缺失或不安全
(ง •_•)ง
11-23 1万+
中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11 3915
如果需要找的漏扫问题,可以在评论区发言,我看到就会回复。 检测目标X-Content-Type-Options响应缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测目标Referrer-Policy响应缺失 add_header 'Referrer-Policy' 'origin'; 检测目标X-XSS-Protection响应缺失 add_
【已解决】IIS环境检测到网站存在响应缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 858
4、检测目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测目标Content-Security-Policy响应缺失 IIS设置。1、检测目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测目标X-XSS-Protection响应缺失
content-security-policy缺失或不安全_“总包”管安全帽,守护安全就该从“”开始...
weixin_29745919的博客
01-13 327
“脆皮”安全帽事件再起波澜。此前,一段“工人和领导安全帽碰撞后,工人的安全帽严重破裂”的视频在网络上热传,引发公众对一线工人安全帽质量问题的广泛讨论。继应急管理部官方微博表态“落实企业安全生产主体责任,决不能流于形式,浮于表面”之后,日前,北京市住房和城乡建设委员会在官方网站发布消息称,6月1日起,北京市房屋建筑和市政基础设施工程项目施工单位的安全帽购买、验收、发放、使用、更换和报废统一由施工总承...
HTTP Content-Security-Policy缺失,快速解决
kzhzhang的专栏
05-06 2万+
Content-Security-Policy内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 注意:C
vue缺失Content-Security-Policy响应
qq_41820599的博客
11-20 5604
axios header中添加 ‘Content-Security-Policy’: “script-src ‘self’; object-src ‘none’;style-src cdn.example.org third-party.org; child-src https:”
响应缺少或者配置了不安全content-security-policy属性_这些bug你遇到过几个?盘点10个常见安全测试漏洞及修复建议...
weixin_39559015的博客
11-21 1万+
随着互联网技术的飞速发展,业务的开展方式更加灵活,应用系统更加复杂,也因此面临着更多的安全性挑战。安全测试是在应用系统投产发布之前,验证应用系统的安全性并识别潜在安全缺陷的过程,目的是防范安全风险,满足保密性、完整性、可用性等要求。  日常测试过程中经常遇到开发同事来询问一些常见的配置型漏洞应该如何去修复,为了帮助开发同事快速识别并解决问题,通过总结项目的安全测试工作经验,笔者汇总、分析了应用系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值