未设置Strict-Transport-Security响应头【原理扫描】

已于 2023-07-13 15:28:22 修改
阅读量1.4k 收藏 5
点赞数 1
文章标签: 服务器
于 2023-07-12 15:03:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tone1128/article/details/131681869
版权

IIS环境检测到网站存在响应头缺失漏洞解决办法:
1.webconfig中添加响应头

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <directoryBrowse enabled="false" />
        <httpProtocol>
            <customHeaders>
                <add name="X-Content-Type-Options" value="nosniff" />
                <add name="X-XSS-Protection" value="1" />
                <add name="Content-Security-Policy" value="default-src 'self'" />
                <add name="Strict-Transport-Security" value="max-age=31536000" />
                <add name="Referrer-Policy" value="origin-when-cross-origin" />
                <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
                <add name="X-Download-Options" value="noopen" />
                <add name="X-Frame-Options" value="deny" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

2.IIS中手动增加响应头:
在这里插入图片描述
在这里插入图片描述
设置完后IIS HTTP响应头设置界面显示如下:
在这里插入图片描述
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在PHP中加入:header(‘X-Frame-Options: deny’);
根据实际情况酌情进行添加!!!

tone1128
关注
HSTS漏洞(缺少Strict-Transport-Security
墨痕诉清风的博客
05-17 1581
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标。理想回复响应因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应
渗透测试web设置http Strict Transport Security
墨痕诉清风的博客
10-26 9170
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。HSTS响应格式preload]max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。...
Web低危漏洞之HTTP Strict-Transport-Security缺失的处理
热门推荐
weixin_42715225的博客
09-10 1万+
前言 … … 漏洞呈现 解决 Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 示例 ... ... server { add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; prel
漏洞修复:检测到目标Content-Security-Policy响应缺失
最新发布
yjfkeifk的博客
07-01 1503
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy。
检测到目标Strict-Transport-Security响应缺失
lxyoucan的博客
07-14 5581
其可选的值有: max-age=SECONDS,表示本次命令在来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
【绿盟】检测到目标Strict-Transport-Security响应缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应缺失 检测到目标Referrer-Policy响应缺失 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Options配置 ..
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)
weixin_30556161的博客
02-11 301
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(二) HTTP strict transport security (HSTS) is defined inhttp://tools.ietf.org/html/ietf-websec-strict-transport-sec HTTP-based dynamic pu...
【已解决】IIS环境检测到网站存在响应缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 1804
4、检测到目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应缺失 IIS设置。1、检测到目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options配置 重新配置IIS。2、检测到目标X-XSS-Protection响应缺失。
安全修复之Web——HTTP Strict-Transport-Security缺失
小小关的博客
06-29 1583
日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 系统:windows10 语言:Golang golang版本:1.18 内容 安全预警 HTTP Strict-Transport-Security缺失安全限定: HTTP Strict-Transport-Security 可以
HTTP 安全响应Security Response header)配置
qq_42445433的博客
08-11 3690
HTTP 安全响应Security Response header)配置
关于nginx HTTP安全响应问题
ZL_1618的博客
05-10 2191
一、背景二、http基本安全配置2.1 host攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应缺失2.5 Content-Security-Policy响应缺失2.6 Strict-Transport-Security响应缺失2.7 X-Permitted-Cross-Domain-Policies响应缺失2.8 Referrer-Policy响应缺失。
Nginx配置Http响应安全策略_nginx content-security-policy
2301_82257383的博客
04-28 865
但是有一些资源的类型是定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
【绿盟】检测到目标Referrer-Policy响应缺失
naansun的博客
11-19 6856
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”问题
hsc的博客
07-22 6847
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
检测到目标Referrer-Policy响应缺失
lxyoucan的博客
07-14 4195
Web 服务器对于 HTTP 请求的响应中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
第九节Windows等保测评服务器配置修改
zjltianxin的博客
11-03 2201
5.1.tomcat禁用3DES和DES算法:
HTTP杂谈之Referrer-Policy响应
wzj_110的博客
01-19 1525
Referrer-Policy 各个值的解读,Referrer-Policy 使用方法。Referrer-Policy解读
Web服务安全
qq_19462809的博客
10-22 3925
Web服务从来就不是安全的,即使使用没有任何问题的代码,它仍然面临着很多威胁。这些威胁万网来自于Web服务本身,一方面来自于通信协议的不安全,另一方面来自于Web服务器的部署。长期以来,Web客户端与web服务端一致使用HTTP通信,而这种协议存在很多问题,从而导致中间人欺骗等多种攻击方式的产生。目前HTTP正逐渐被HTTPS所取代。但针对HTTPS的攻击也从停止过。
HTTP 安全响应Security Response header)配置手册
sysin | SYStem INside
12-09 1万+
HTTP 安全响应Security Response header)配置手册
tomcat设置Strict-Transport-Security响应
05-12
要在Tomcat中设置Strict-Transport-Security响应,可以按照以下步骤进行操作: 1. 打开Tomcat的配置文件,即server.xml文件。 2. 找到Connector元素,通常它会在文件的顶部或底部。 3. 在Connector元素内添加以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值