低危某个头缺失或不安全(xss攻击)

本文探讨了软件测试中关于Content-Security-Policy头的缺失问题,介绍了如何在Nginx配置和网页meta标签中修复漏洞,包括`X-Content-Type-Options`、`X-XSS-Protection`和`HTTP Strict-Transport-Security`。提供了解决方案和关键代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

测试软件

appscan

测试结果

  1. “Content-Security-Policy”头缺失或不安全
    通过获取指令来控制某些可能被加载的确切的资源类型的位置
  2. “X-Content-Type-Options”头缺失或不安全
    HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。
  3. “X-XSS-Protection”头缺失或不安全
    HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS (en-US))时,浏览器将停止加载页面。
  4. HTTP Strict-Transport-Security 头缺失或不安全
    告诉浏览器只能通过HTTPS访问当前资源,而不是HTTP。
    在这里插入图片描述

解决方案

  1. 在nginx里面加入配置
//add_header Content-Security-Policy: default-src=self;
//add_header Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;";
add_header Content-Security-Policy "connect-src *"; 
add_header X-Xss-Protection: 1;mod=block;//启用XSS过滤,检测到攻击,浏览器将不会清除页面,而是阻止页面加载
add_header X-Content-Type-Options: nosniff;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
  1. 通过网页的meta标签
<meta http-equiv="Content-Security-Policy" content="style-src 'self' 'unsafe-inline';script-src 'self' 'unsafe-inline' 'unsafe-eval' https://webapi.amap.com https://restapi.amap.com https://vdata.amap.com https://appx/web-view.min.js;worker-src blob:">
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值