今天一個客戶網(wǎng)站��。收到了公安網(wǎng)站安全監(jiān)測平臺漏洞報告��。要求整改�。于是我看了下。大概80%以上都是服務(wù)器響應(yīng)頭的問題���,
于是給客戶服務(wù)器。單獨去設(shè)置一下響應(yīng)式和https���,其實我覺得這些漏洞��。也不行叫漏洞�����?���?蛻艟W(wǎng)站里�。就3-4個靜態(tài)頁面����,還有一個漏洞是a鏈接不能用
target="_blank�,我還是第一次聽說�, 還有拒絕服務(wù)攻擊,這類是ddos防御的問題�。也在里面�。沒法解決
下面解決方法,大概能 解決80-90%
下面是解決響應(yīng)頭缺失漏洞的方式��。
IIS環(huán)境下的網(wǎng)站存在響應(yīng)頭缺失漏洞如下
1����、檢測到目標(biāo)X-Content-Type-Options響應(yīng)頭缺失
2��、檢測到目標(biāo)X-XSS-Protection響應(yīng)頭缺失
3���、檢測到目標(biāo)Content-Security-Policy響應(yīng)頭缺失 IIS設(shè)置
4����、檢測到目標(biāo)X-Permitted-Cross-Domain-Policies響應(yīng)頭缺失 重新配置IIS
5����、檢測到目標(biāo)Strict-Transport-Security響應(yīng)頭缺失 重新配置IIS
6�����、點擊劫持:X-Frame-Options未配置 重新配置IIS
解決方法一web.config 里面添加
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff" />
<add name="X-XSS-Protection" value="1" />
<add name="Content-Security-Policy" value="default-src 'self'" />
<add name="Strict-Transport-Security" value="max-age=31536000" />
<add name="Referrer-Policy" value="origin-when-cross-origin" />
<add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
<add name="X-Download-Options" value="noopen" />
<add name="X-Frame-Options" value="deny" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
解決方法二��。iis里面直接添加響應(yīng)頭