网站安全响应头缺失和php配置漏洞

最新推荐文章于 2024-08-06 12:03:28 发布
最新推荐文章于 2024-08-06 12:03:28 发布
阅读量5.2k 收藏 8
点赞数 5
分类专栏: php 文章标签: php低危漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014157384/article/details/100701740
版权

最近给学校做网站,被查出各种响应头缺失的 低危漏洞  和 一些配置漏洞,还有一些需要https的配置。。。。。

php.ini 中修改

expose_php off    //  php彩蛋信息泄露
session.cookie_httponly=true  //  cookie没有设置httponly属性

 

PHP 配置

header("X-Frame-Options:SAMEORIGIN;");  // X-Frame-Options 响应头缺失
header("Referer-Policy:origin;");//Referer-Policy 响应头缺失
header("Content-Security-Policy:frame-ancestors 'self';");//Content-Security-Policy 响应头缺失
header("X-Permitted-Cross-Domain-Policies:'master-only';");//X-Permitted-Cross-Domain-Policies 响应头缺失
header("X-XSS-Protection:1; mode=block;");//X-XSS-Protection 响应头缺失
header("X-Download-Options: SAMEORIGIN;");//X-Download-Options 响应头缺失
header("X-Content-Type-Options:nosniff;");//X-Content-Type-Options 响应头缺失
header("Strict-Transport-Security:max-age=31536000;");//Strict-Transport-Security 响应头缺失

Nginx 配置

    add_header X-Frame-Options SAMEORIGIN;
    add_header Referer-Policy origin;
    add_header Content-Security-Policy "frame-ancestors 'self'";
    add_header X-Permitted-Cross-Domain-Policies  "master-only";
    add_header X-XSS-Protection "1; mode=block;";
    add_header X-Download-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;
    add_header Strict-Transport-Security max-age=31536000;

 

Z海亮
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
HTTP响应相关漏洞
谢公子的博客
11-25 3549
目录 X-Frame-Options(点击劫持) 会话Cookie中缺少Http Only属性 检测到目标URL启用了不安全的HTTP方法 X-XSS-Protection X-Content-Type-Options Strict-Transport-Security X-Content-Security-Policy 一些大公司使用这些安全响应示例 X-Frame-Opt...
如何让HTTPS站点更加安全? 这篇HTTPS安全加固配置最佳实践指南就够了
WeiyiGeek 唯一极客IT知识分享
04-10 3916
[TOC] 前置知识推荐了解 HTTPS原理介绍以及证书签名的申请配置 ( https://blog.weiyigeek.top/2019/10-21-10.html ) SSL与TLS协议原理和证书签名生成实践指南 ( https://blog.weiyigeek.top/2019/10-21-12.html ) 原文链接 HTTPS安全优化配置最佳实践指南简述 ( https://blog.weiyigeek.top/2022/4-6-11.html ) 0x02 HTTPS安全加固指南 描述: 当你
如何解决响应缺失漏洞解决
zz_1231的博客
10-15 6712
测试抓包扫出有响应缺失漏洞,先给出解决方案,下面再详细解释每个漏洞。 public class ResponseHeadFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } public void doFilter(ServletRequest request, ServletResponse response...
漏洞修复:检测到目标Content-Security-Policy响应缺失
yjfkeifk的博客
07-01 1025
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy。
关于nginx HTTP安全响应问题
最新发布
dzqxwzoe的博客
08-06 834
一、背景二、http基本安全配置2.1 host攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应缺失2.5 Content-Security-Policy响应缺失2.6 Strict-Transport-Security响应缺失2.7 X-Permitted-Cross-Domain-Policies响应缺失2.8 Referrer-Policy响应缺失
响应缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 8039
web安全响应
Tomcat响应缺失
2301_77093780的博客
04-02 544
修改WEB应用的web.xml部署文件,插入限制请求方法的代码。
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 5344
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
PHP漏洞全解(一)-PHP网站安全性问题
qq122219685的专栏
05-18 680
针对PHP网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injection) 6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF) 7、Session 会话劫持(Session Hijacking) 8、S
PHP网站常见安全漏洞及防御方法
php_lzr的博客
05-13 1491
本文笔者重点从PHP网站攻击与安全防范方面进行探究,旨在减少网站漏洞,希望对大家有所帮助! 一、常见PHP网站安全漏洞 对于PHP漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。 2
在代码中审计漏洞的世界.pdf
08-29
3. **安全开发规范的缺失**:没有明确的安全开发流程和标准,使得代码可能存在明显的安全漏洞,例如缺少必要的安全配置或权限控制。 4. **逻辑漏洞的挑战**:随着安全防护技术的提升,传统的注入类漏洞逐渐减少,但...
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
【应急响应篇】流量劫持应急响应指南
大河之犬的博客
05-31 704
如果发生劫持,使用抓包工具(Wireshark)捕获浏览器访问的链路层流量,可发现对浏览器产生的单个请求, 同时会收到两个不同的 TCP 响应报文,因为伪造的第 1 个数据包先到,所以第 2 个正常的 TCP 响应数据包被客户端忽略了。在 Windows 系统中,打开【网络连接】窗口,双击【以太网】选项,在打开的对话框中单击【详细信息】按钮查看详情。DNS 劫持又称域名劫持,是指控制 DNS 查询解析的记录,在劫持的网络中拦截 DNS 请求,分析匹配请求域名,返回虚假 IP 信息或不做任何操作使请求无效。
检测到目标X-Permitted-Cross-Domain-Policies响应缺失
lxyoucan的博客
07-19 4960
Web 服务器对于 HTTP 请求的响应中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。
安全扫描出现的响应缺失安全问题汇总
次日清晨的博客
07-12 3147
解决安全漏洞:检测到目标服务器启用了OPTIONS方法 点击劫持:X-Frame-Options未配置 检测到目标Referrer-Policy响应缺失 Content-Security-Policy响应确实 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Content-Type-Options响应缺失 检测到目标X-XSS-Protection响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Op.
Web低危漏洞之缺少“X-XSS-Protection“的处理方法
weixin_42715225的博客
09-12 1万+
前言 xss攻击会导致网站低危漏洞,需要进行防护 漏洞呈现 解决 方法一: PHP配置设置 在Header.php文件中添加如下内容: ··· … … header( “X-XSS-Protection: 1” ); … … ··· 方法二: nginx配置设置 ... ... server { ... ... add_header X-XSS-Protection 1; ... ... 结语 … … ...
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11 4088
如果需要找的漏扫问题,可以在评论区发言,我看到就会回复。 检测到目标X-Content-Type-Options响应缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测到目标Referrer-Policy响应缺失 add_header 'Referrer-Policy' 'origin'; 检测到目标X-XSS-Protection响应缺失 add_
常见四个“缺失或不安全”问题
(ง •_•)ง
11-23 5677
常见的缺失或不安全问题: 1、“Content-Security-Policy”缺失或不安全 2、“X-Content-Type-Options”缺失或不安全 3、“X-XSS-Protection”缺失或不安全 4、设置HTTP请求(X-Frame-Options) 解决方法: 中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.c...
使用tomcat搭建HTTP文件下载服务器
zhujianfeng2373的博客
05-19 963
1. 假设需要下载的文件目录是D:\download1(注意这里写了个1,跟后面的名称区分) 2. 设置 tomcat 的虚拟目录。在 {tomcat home}\conf\Catalina\localhost 下建一个任意名称(如download2)的 XML,内容如下: <?xml version="1.0" encoding="UTF-8"?> <Context path="/download2" reloadable="true" docBase="D:\download1"
PHP网站安全防护:常见漏洞及防范策略
本文将详细介绍PHP网站常见的16种安全漏洞类型,以帮助开发者更好地理解和预防这些问题。以下是针对这些漏洞的详细解释和防范措施: 1. **命令注入(CommandInjection)**:PHP中的system、exec、passthru、shell_...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值