IIS环境下的网站存在响应头缺失漏洞如下
1、检测到目标X-Content-Type-Options响应头缺失
2、检测到目标X-XSS-Protection响应头缺失
3、检测到目标Content-Security-Policy响应头缺失 IIS设置
4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS
5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS
6、点击劫持:X-Frame-Options未配置 重新配置IIS
解决方案:打开IIS,点击站点,右侧选择"HTTP响应标头”,点键添加即可
参数值整理如下:
Content-Security-Policy default-src 'self'
X-XSS-Protection 1; mode=block
Strict-Transport-Security max-age=31536000
Referrer-Policy origin-when-crossorigin
X-Permitted-Cross-Domain-Policies master-only
X-Download-Options noopen
X-Frame-Options SAMEORIGIN
X-Content-Type-Options nosniff
标签:
安全
本文转载自: https://blog.csdn.net/wangjunlei/article/details/137819625
版权归原作者 开心の码农 所有, 如有侵权,请联系我们删除。
版权归原作者 开心の码农 所有, 如有侵权,请联系我们删除。