关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法

最新推荐文章于 2024-04-29 15:34:46 发布
最新推荐文章于 2024-04-29 15:34:46 发布
阅读量2.7k 收藏 3
点赞数
文章标签: http xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxp3817100/article/details/128560266
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少secure属性的处理。

配置文件路径:/etc/httpd/conf/httpd.conf

一、允许TRACE方法

编辑配置文件:

/etc/httpd/conf/httpd.conf

在文件最后一行加上 TraceEnable off
如果不行的话在 vhost.conf 也加上以上的指令,重启apache

/etc/init.d/httpd restart

或是在httpd.conf里面每一个visual host里面加以下的module(RrwriteEngine需要compiler)

RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]

这一点比较复杂visual host都加上…重启
/etc/init.d/httpd restart 稍后生效

二、HTTP X-XSS-Protection缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header always append X-XSS-Protection '1; mode=block'

三、HTTP Content-Security-Policy缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header set Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;"

四、HTTP X-Download-Options缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header add X-Download-Options "value"

五、HTTP X-Content-Type-Options缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header always set X-Content-Type-Options nosniff

六、HTTP X-Permitted-Cross-Domain-Policies缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header add X-Permitted-Cross-Domain-Policies "value"

七、X-Frame-Options Header未配置

修改apache的配置文件httpd.conf,在<Directory “网站目录”>段配置下,添加以下配置,重启生效

<Directory />
	AllowOverride none
	Require all denied
	<LimitExcept POST GET>
	Require valid-user
	</LimitExcept>
</Directory>

八、会话Cookie中缺少HttpOnly属性、会话Cookie中缺少secure属性

框架的入口文件插入

ini_set('session.cookie_httponly', true);
ini_set('session.cookie_secure', true);
$session->start();

总结

汇总下配置文件的编辑内容如下:

<VirtualHost *:80>
    ServerAdmin ***
    ServerName www.***.com
    ServerAlias ***.com
    DocumentRoot /home/website/
    DirectoryIndex index.shtml

    <Directory "/home/website/">
        AllowOverride All
        Order allow,deny
        Allow from all
        Header always append X-XSS-Protection '1; mode=block'
        Header set Content-Security-Policy "default-src 'self' localhost:80 'unsafe-inline' 'unsafe-eval' blob: data: api.map.baidu.com *.bdimg.com;"
        Header add X-Download-Options "value"
        Header always set X-Content-Type-Options nosniff
        Header add X-Permitted-Cross-Domain-Policies "value"
        <LimitExcept POST GET>
                Require valid-user
        </LimitExcept>
    </Directory>

    <IfModule mod_rewrite.c>
        RewriteEngine On
        RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-d
        RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-f
        RewriteRule ^/(.*)$ /index.php?_url=/$1 [QSA,L]
        RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
    </IfModule>
    php_flag magic_quotes_gpc 0
</VirtualHost>
無薪法师
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
检测到目标X-XSS-Protection响应头缺失
lxyoucan的博客
07-15 3793
HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。X-XSS-Protection响应头的缺失使得目标URL更易遭受跨站脚本攻击。
低危漏洞:X-Frame-Options Header配置
daisy_sura的博客
01-23 1万+
漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;,&lt;iframe&gt; 或者 &lt;object&gt;中展现的标记。配置X-Frame-Options的网站,可能有被点击劫持的风险(内容被嵌到别人的网站中去,并在上面加一个透明层,诱导用户点击) X-Frame-Options可选的参数值有三种: DENY S...
zookeeper 允许HTTP TRACE / TRACK方法 端口8080
最新发布
m0_37541370的博客
04-29 597
进入zookeeper的bin目录下,在启动脚本zkServer.sh增加参数,查找nohup,在本行增加参数:-Dzookeeper.admin.enableServer=false。风险描述:远程Web服务器支持TRACE和/或TRACK方法TRACE和TRACK是用于调试Web服务器连接的HTTP方法。风险影响:通过一个跨站追踪攻击窃取cookies和验证信任。*注:注意空格和双引号。
响应头设置X-Frame-Options
weixin_46356409的博客
01-18 1199
通过设置’X-Frame-Options’响应头,可以防止网页被嵌入到其他网站中,从而提高网站的安全性。网站容易受到点击劫持攻击:如果没有设置’X-Frame-Options’,攻击者可以在其他网站中嵌入恶意代码,诱使用户在不知情的情况下点击网页上的按钮或链接,从而执行恶意操作。网站可能无法在iframe中正常显示:如果没有设置’X-Frame-Options’,浏览器可能会阻止网页被嵌入到其他网站中,导致网页无法在iframe中正常显示。
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 8350
trace问题
nginx的处理http请求流程分析
focus on security
03-15 436
Nginx的连接整个流程如下: 1. 在Nginx main函数的ngx_init_cycle()方法中,调用了ngx_open_listening_sockets函数, 这个函数负责将创建的监听套接字进行套接字选项的设置(比如非阻塞、接受发送的缓冲区、绑定、监听处理) 2. HTTP模块初始化优先于Event模块,HTTP模块通过ngx_http_block()方法进行初始化, 然后调用...
web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师
Programming
06-06 3551
web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-test3Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含X-XSS-Protection请求头header缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感
HTTP安全标头大全(X-Frame-Options,CSP,HSTS.....,,)
10-31
HTTP安全标头大全(X-Frame-Options,CSP,HSTS.....,,) 最常见的攻击包括:钓鱼、跨站脚本(XSS)、中间人攻击(MITM,通常发生在免费公共WiFi或其他开放网络上) 所以HTTP安全头是一种良好的防火墙,可以防止许多...
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
nuxt-security:Nuxt.js的模块,用于配置安全标头等
04-28
以下是可用功能的列表: 严格传输安全标头内容安全策略标头X-Frame-Options标头X-Xss保护X-Content-Type-Options标头Referrer-Policy标头功能策略标头security.txt文件生成去做 使用OpenPGP签署security.txt 标头...
X-Scan安全测试
01-19
X-Scan是一款功能强大的网络漏洞扫描工具,常用于企业级的安全评估和系统管理员进行网络安全检测。它能够自动化地发现网络中的安全漏洞,帮助用户及时识别并修复潜在的安全风险,从而提高网络安全防护能力。 X-Scan...
content-security-policy.com:content-security-policy.com网站的源代码
04-27
内容安全策略(Content Security Policy,简称CSP)是Web安全领域的一个重要机制,用于帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。它允许网站管理员通过定义一组策略来控制页面可以加载哪些资源,比如...
HTTP TRACE / TRACK Methods Allowed 漏洞修复
bwlab的博客
04-27 1万+
httpd.conf添加TraceEnable off
Nginx常见漏洞处理
a630192144的博客
08-25 2884
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
检测到目标Content-Security-Policy响应头缺失
lxyoucan的博客
07-14 1912
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。
启用 HTTP TRACE 方法
走马观花
04-11 1万+
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards
nginx网站安全漏洞修复
unhejing的博客
07-27 9986
前言:公司项目交付之前甲方进行了安全漏洞的扫描。大部分漏洞都是因为nginx响应没有加上仿攻击的响应头。记录一下漏洞以及解决方法 1.检测到目标URL存在相对路径覆盖(RPO)漏洞 该漏洞是因为一下原因: --访问当前URL,检测响应头是否配置了x-content-type-options头; --如果没有配置,则检查响应内容,若响应内容是没有DOCTYPE声明的HTML,且存在相对路径引用的css、js资源,则认为存在该漏洞。 解决方法: 1⃣️ 去掉响应内容里面的相对路径。这个是由于代码之前引
HTTP Content-Security-Policy缺失,快速解决
热门推荐
kzhzhang的专栏
05-06 2万+
Content-Security-Policy内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 注意:C
Tomcat 服务器没有启用 httpHeaderSecurity 功能的解决方案
阿啄debugIT
02-09 6923
问题 针对以下问题进行修复: 缺少 "Content-Security-Policy" 头 缺少 "X-Content-Type-Options" 头 缺少 "X-XSS-Protection" 头 主要问题是 Tomcat 服务器没有启用 httpHeaderSecurity 功能 解决步骤及方法: 登入 192.168.18.66服务器,找到 Tomcat 配置目录:/root/vo...
nginx 安全配置代码 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options
09-02
配置 Nginx 的安全选项时,你可以使用以下代码来设置 X-Frame-Options、X-XSS-Protection 和 X-Content-Type-Options: ``` server { ... # 配置 X-Frame-Options add_header X-Frame-Options SAMEORIGIN; # 配置 X-XSS-Protection add_header X-XSS-Protection "1; mode=block"; # 配置 X-Content-Type-Options add_header X-Content-Type-Options nosniff; ... } ``` 在以上代码中,`add_header` 指令用于添加响应头信息。`X-Frame-Options` 设置为 `SAMEORIGIN` 会阻止页面被嵌入到其他网站的 iframe 中,保护网页免受点击劫持攻击。`X-XSS-Protection` 设置为 `"1; mode=block"` 会启用浏览器的内置 XSS 保护机制。`X-Content-Type-Options` 设置为 `nosniff` 会阻止浏览器对响应内容的 MIME 类型进行猜测。 你可以将上述代码添加到你的 Nginx 配置文件中的相应位置,确保在保存并重新加载配置后生效。请注意,这些选项可以根据你的具体需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

無薪法师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值