今日已经过去小时
这周已经过去天
本月已经过去天
今年已经过去个月
| 常见的响应头安全漏洞 |
|---|
| X-Frame-Options Header未配置 |
| HTTP Content-Security-Policy缺失 |
| HTTP X-Content-Type-Options缺失 |
| HTTP X-XSS-Protection缺失 |
| HTTP X-Download-Options缺失 |
| HTTP X-Permitted-Cross-Domain-Policies缺失 |
| HTTP Referrer-Policy缺失 |
| nginx 显示版本号信息 |
针对显示 nginx 版本号问题,可以修改配置设置为不显示,需要在 http 层级内添加如下配置:
server_tokens off;
针对响应头相关的漏洞可以在 nginx 配置文件内添加安全响应头,注意添加在server层级内 nginx 配置信息如下:
add_header X-Frame-Options SAMEORIGIN; add_header X-Download-Options "noopen"; add_header Content-Security-Policy "script-src * 'unsafe-inline' 'unsafe-eval'"; add_header Strict-Transport-Security 'max-age=15552000'; add_header X-Permitted-Cross-Domain-Policies 'none'; add_header Referrer-Policy "no-referrer"; add_header X-XSS-Protection '1;mode=block'; add_header X-Content-Type-Options 'nosniff'; add_header Set-Cookie 'Path=/;httponly; Secure; SameSite=Lax';