因为原有一个业务服务使用Nginx做了一个代理,漏洞扫描后报了不少头信息问题,进行了修复并将方法进行记录如下,以下配置均在nginx.conf文件中添加。
漏洞内容:点击劫持:缺少X-Frame-Options
关于http头部 X-Frame-Options 缺失漏洞解决,X-Frame-Options有三个可选项:
DENY #拒绝任何域加载
SAMEORIGIN #允许同源域下加载(常用)
ALLOW-FROM #可以定义允许frame加载的页面地址
解决方法:add_header X-Frame-Options SAMEORIGIN;
漏洞内容:HTTP Strict-Transport-Security 响应头缺失
HTTP Strict-Transport-Security 可以限定浏览器只能通过HTTPS访问当前资源,禁止HTTP方式。
解决方法:add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;
漏洞内容:HTTP Referrer-Policy 响应头缺失
referer是用来防止CORS(跨站请求伪造)的一种最常见及有效的方式。而Referrer-Policy则是客户端对这个带信息策略的配置。推荐使用strict-origin-when-cross-origin作为默认策略。
Referrer-Policy可以设置的值有如下列表:
no-referrer 整个Referer首部会被移除。访问来源信息不随着请求一起发送
no-referrer-when-downgrade 没有指定策略时的默认行为。在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。
origin 在任何情况下,仅发送文件的源作为引用地址。
origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
same-origin 对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息
strict-origin 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。
strict-origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。
unsafe-url 无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。(最不安全)
解决方法:add_header Referrer-Policy strict-origin-when-cross-origin;
漏洞内容:HTTP X-Permitted-Cross-Domain-Policies 响应头缺失
X-Permitted-Cross-Domain-Policies
用于指定当不能将crossdomain.xml文件(当需要从别的域名中的某个文件中读取 Flash 内容时用于进行必要设置的策略文件)放置在网站根目录等场合时采取的替代策略。
常用的配置值:master-only 只允许使用主策略文件(/crossdomain.xml)
解决方法:add_header X-Permitted-Cross-Domain-Policies master-only;
漏洞内容:HTTP X-Download-Options 响应头缺失
Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options会导致浏览器提供的安全特性失效,容易遭受 Web 前端黑客攻击的影响。可以使用X-Download-Options标头下载所请求的数据。 X-Download Options标头可在Internet Explorer 8及更高版本的浏览器中使用。这个标头就像一个深度防御机制,特别适合于允许用户上传内容的应用程序,避免用户直接打开其上传的包含恶意代码的文件,通过向X-Download-Options HTTP头添加noopen指令来删除用户必须打开文件的选项。
解决方法:add_header X-Download-Options noopen
漏洞内容:HTTP X-Content-Type-Options 响应头缺失
互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:”text/html”代表html文档,”image/png”是PNG图片,”text/css”是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。这个响应头的值只能是nosniff,可用于IE8+和Chrome。
解决方法:add_header X-Content-Type-Options nosniff
注意事项(必读):
1、本站所展示的一切软件、教程和内容信息等资源均仅限用于学习和研究目的,请在下载后24小时内自觉删除;不保证其完整性及可用性,本平台不提供任何技术支持,若作商业用,请到原网站购买,由于未获授权而发生的侵权行为与本站无关。如有侵权请联系vip#mmeasy.cn(将#替换成@),我们将及时处理。
2、一切网盘资源请勿在线解压!在线解压会提示文件损坏或密码错误,特别注意若压缩包名带part1或z01这样的标识,则均为分卷压缩包,需要下载每个文件夹下的所有压缩包后,用WinRAR软件解压part1或zip即可释放当前文件夹下所有压缩包的内容!
3、如果链接失效,遇到资源失效可提交工单处理。
4、强烈建议在本站注册成为会员后再购买,游客购买只能短期保留记录,如超期或购买后自行清空浏览器缓存,将恢复购买前状态!
本文链接:https://www.mmeasy.cn/14090.html
