【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全

已于 2024-04-16 13:09:54 修改
阅读量544 收藏 4
点赞数 1
文章标签: 安全
于 2024-04-16 12:05:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangjunlei/article/details/137819625
版权

IIS环境下的网站存在响应头缺失漏洞如下

1、检测到目标X-Content-Type-Options响应头缺失

2、检测到目标X-XSS-Protection响应头缺失

3、检测到目标Content-Security-Policy响应头缺失 IIS设置

4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS

5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS

6、点击劫持:X-Frame-Options未配置 重新配置IIS

解决方案:打开IIS,点击站点,右侧选择"HTTP响应标头”,点键添加即可

参数值整理如下:

Content-Security-Policy                      default-src 'self'
X-XSS-Protection                             1; mode=block
Strict-Transport-Security                    max-age=31536000
Referrer-Policy                              origin-when-crossorigin
X-Permitted-Cross-Domain-Policies             master-only
X-Download-Options                           noopen
X-Frame-Options                              SAMEORIGIN
X-Content-Type-Options                       nosniff

开心の码农
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
检测到目标Strict-Transport-Security响应缺失
lxyoucan的博客
07-14 4007
其可选的值有: max-age=SECONDS,表示本次命令在来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
安全篇 ━━ 整改php和IIS(根据安全等级保护评估、渗透测试报告)
暂时先用这个名字
10-16 6343
1、 目标URL存在http host攻击漏洞 在代码部分注释_SERVER[“HTTP_HOST”]方法,仅留_SERVER["SERVER_NAME”] 2、 会话cookie中缺少HttpOnly属性 在代码部分开启HttpOnly 在服务器开启httpOnlyCookies为True 3、 目标X-Content-Type-Options响应缺失 在代码部分设置X-Content-Type-Options为nosniff 在IIS设置X-Content-Type-Options为nosn
clickjacking(点击劫持)、请求的响应中缺少 Strict-Transport-Security
nly19900820的博客
08-25 455
检测到目标X-Permitted-Cross-Domain-Policies响应缺失。// 请求的响应中缺少 Strict-Transport-Security。检测到目标Strict-Transport-Security响应缺失设置统一过滤器,过滤所有请求,设置以上响应,即可解决问题。检测到目标X-Download-Options响应缺失检测到目标Referrer-Policy响应缺失。点击劫持:X-Frame-Options配置。项目安全扫描,扫到以下问题。
检测到目标X-Content-Type-Options响应缺失
lxyoucan的博客
07-15 4028
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击
IIS 缺失或不安全
一杯咖啡的博客
11-04 408
在web.config文件里面配置 <customHeaders> <add name="X-XSS-Protection" value="1;mode=block"/> <add name="X-Content-Type-Options" value="nosniff"/> <add name="Content-Security-Policy" value="default-src 'self';" /> </customHeaders
有关Ajax跨域问题的两种解决方法
10-23
ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,不允许js代码进行跨域操作,会警告,所以才出现ajax跨域的问题。
vue跨域解决方法
08-29
主要介绍了vue跨域解决方法 ,需要的朋友可以参考下
javascript跨域方法、原理以及出现问题解决方法(详解)
10-23
javascript出于安全方面的考虑,不允许跨域调用其他页面的对象。但是在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。跨域简单的理解就是因为javascript同源策略的限制,a.com域名下的js无法操作b.com...
服务端解决跨域方法
05-24
服务端解决跨域方法服务端解决跨域方法服务端解决跨域方法
Spring MVC中自带的跨域问题解决方法
08-29
就是我的前端和后端是放在不同的服务器上的,然后使用opst请求的时候报错,所以通过查找相关的资料终于解决了,下面这篇文章主要给大家介绍了关于Spring MVC中自带的跨域问题解决方法的相关资料,需要的朋友可以参考...
AppScan安全专项问题解决
weixin_46106147的博客
12-17 742
通过将 Cookie 限制为第一方或同一站点上下文,防止 Cookie 信息泄露 如果没有额外的保护措施(例如反 CSRF 令牌),攻击可能会扩展到跨站点请求伪造 (CSRF) 攻击。为了从源解决CSRF(跨站请求伪造)攻击,Set-Cookie响应新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie,Samesite 有三个属性值,分别是 Strict 、Lax和None。这是最安全的伪指令。
【绿盟】检测到目标Strict-Transport-Security响应缺失
热门推荐
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应缺失 检测到目标Referrer-Policy响应缺失 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Options配置 ..
“Content-Security-Policy”缺失或不安全
(ง •_•)ง
11-23 1万+
中间件为IIS网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
如何解决响应缺失漏洞解决
zz_1231的博客
10-15 6531
测试抓包扫出有响应缺失的漏洞,先给出解决方案,下面再详细解释每个漏洞。 public class ResponseHeadFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } public void doFilter(ServletRequest request, ServletResponse response...
IIS配置HTTP响应导致的一系列问题
networksu的博客
07-20 5711
 1现象 1) EASYUI的DataGride嵌套在td中,但是随着滚轮的滑动,位置固定。 2) 调试的时候JSON.parse()方法可以正常使用但是,正式环境下不能正常识别。 3)调试和发布以后出现各种差异,确定使用同一浏览器情况下。 2解决办法: 这是IIS中的IE内核配置错误导致的。在IIS配置里面找到相应项目-“HTTP响应”-“添加” 名称:X-UA-Com
HTTP响应设置‘Content-Security-Policy‘
最新发布
weixin_46356409的博客
01-18 1269
当HTTP响应设置’Content-Security-Policy’时,表示服务器没有为网页设置内容安全策略(Content Security Policy,CSP)。通过设置内容安全策略,可以限制浏览器加载哪些类型的资源,从而提高网站安全性。网站容易受到XSS攻击:如果没有设置内容安全策略,攻击者可以在网站上注入恶意脚本,从而窃取用户信息、篡改网页内容或进行其他恶意操作。网站性能可能受到影响:如果没有设置内容安全策略,浏览器需要下载和执行所有类型的资源,这可能会导致网站性能下降。
web 禁用 OPTIONS方法启用【原理扫描】
tone1128的博客
07-13 548
Web服务器上启用了HTTP OPTIONS方法OPTIONS方法提供了Web服务器支持的方法列表,它表示对有关由Request-URI标识的请求/响应链上可用的通信选项的信息的请求。
测试(绿盟)
weixin_43114209的博客
08-16 2535
测试(绿盟) 绿盟科技漏洞报告,IIS 修复 web.config 配置 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <requestLimits> &lt
axios怎么设置响应解决跨域问题
04-19
你可以通过设置请求的方式解决跨域问题,示例代码如下: ```javascript axios.get(url, { headers: { 'Access-Control-Allow-Origin': '*', 'Access-Control-Allow-Methods': 'GET,PUT,POST,DELETE,PATCH,OPTIONS', 'Access-Control-Allow-Headers': 'Content-Type, Authorization, Content-Length, X-Requested-With, Accept' } }).then(response => { console.log(response.data); }).catch(error => { console.log(error); }); ``` 其中,'Access-Control-Allow-Origin'表示允许跨域的源,* 表示允许所有来源;'Access-Control-Allow-Methods'表示允许的请求方法;'Access-Control-Allow-Headers'表示允许的请求

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值