关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法

这篇具有很好参考价值的文章主要介绍了关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档


前言

基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少secure属性的处理。

配置文件路径:/etc/httpd/conf/httpd.conf


一、允许TRACE方法

编辑配置文件:

/etc/httpd/conf/httpd.conf

在文件最后一行加上 TraceEnable off
如果不行的话在 vhost.conf 也加上以上的指令,重启apache

/etc/init.d/httpd restart

或是在httpd.conf里面每一个visual host里面加以下的module(RrwriteEngine需要compiler)

RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]

这一点比较复杂visual host都加上…重启
/etc/init.d/httpd restart 稍后生效

二、HTTP X-XSS-Protection缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header always append X-XSS-Protection '1; mode=block'

三、HTTP Content-Security-Policy缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header set Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;"

四、HTTP X-Download-Options缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header add X-Download-Options "value"

五、HTTP X-Content-Type-Options缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header always set X-Content-Type-Options nosniff

六、HTTP X-Permitted-Cross-Domain-Policies缺失

修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效

Header add X-Permitted-Cross-Domain-Policies "value"

七、X-Frame-Options Header未配置

修改apache的配置文件httpd.conf,在<Directory “网站目录”>段配置下,添加以下配置,重启生效

<Directory />
	AllowOverride none
	Require all denied
	<LimitExcept POST GET>
	Require valid-user
	</LimitExcept>
</Directory>

八、会话Cookie中缺少HttpOnly属性、会话Cookie中缺少secure属性

框架的入口文件插入

ini_set('session.cookie_httponly', true);
ini_set('session.cookie_secure', true);
$session->start();

总结

汇总下配置文件的编辑内容如下:文章来源地址https://www.toymoban.com/news/detail-470090.html

<VirtualHost *:80>
    ServerAdmin ***
    ServerName www.***.com
    ServerAlias ***.com
    DocumentRoot /home/website/
    DirectoryIndex index.shtml

    <Directory "/home/website/">
        AllowOverride All
        Order allow,deny
        Allow from all
        Header always append X-XSS-Protection '1; mode=block'
        Header set Content-Security-Policy "default-src 'self' localhost:80 'unsafe-inline' 'unsafe-eval' blob: data: api.map.baidu.com *.bdimg.com;"
        Header add X-Download-Options "value"
        Header always set X-Content-Type-Options nosniff
        Header add X-Permitted-Cross-Domain-Policies "value"
        <LimitExcept POST GET>
                Require valid-user
        </LimitExcept>
    </Directory>

    <IfModule mod_rewrite.c>
        RewriteEngine On
        RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-d
        RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-f
        RewriteRule ^/(.*)$ /index.php?_url=/$1 [QSA,L]
        RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
    </IfModule>
    php_flag magic_quotes_gpc 0
</VirtualHost>

到了这里,关于关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 关于xss攻击解决方案

    前端安全系列(一):如何防止XSS攻击? 情况一: 后端直接返回带有样式的字符串,使用v-html会受到xss的攻击: 原理:Vue中的v-html指令用以更新元素的innerHTML,其内容按普通HTML插入,不会作为Vue模板进行编译,容易受到xss攻击 xss攻击检验的方式: 方法一: 使用xss插件 htt

    2023年04月26日
    浏览(45)
  • 谷歌浏览器(chrome)允许跨域/允许https网站中发送http请求

    直接上方法了 第一步:对谷歌浏览器图标点击鼠标右键,打开属性面板 第二步:在下图位置,添加下列代码 原来启动浏览器的地址: C:UsersxxxxxAppDataLocalGoogleChromeApplicationchrome.exe 增加的代码(注意开头是有个空格的,要把两部分用空格隔开的): --args --disable-web-secu

    2024年02月02日
    浏览(70)
  • HTTP 劫持、DNS 劫持与 XSS

    HTTP 劫持、DNS 劫持与 XSS http 劫持是指攻击者在客户端和服务器之间同时建立了连接通道,通过某种方式,让客户端请求发送到自己的服务器,然后自己就拥有了控制响应内容的能力,从而给客户端展示错误的信息,比如在页面中加入一些广告内容。 DNS 劫持是指攻击者劫持了

    2024年02月14日
    浏览(40)
  • 前端面试题---HTTP/HTTPS以及XSS攻击

    HTTP(Hypertext Transfer Protocol)是一种用于在网络上传输超文本的协议。它基于客户端-服务器模型,客户端发起请求,服务器响应请求并返回相应的数据。以下是 HTTP 的基本工作原理: 1. 客户端发起请求:客户端(通常是浏览器)向服务器发送 HTTP 请求。请求包括请求行、请求

    2024年02月09日
    浏览(48)
  • HTTP协议 9 种请求方式用途及区别(详解)-- GET、POST、HEAD、OPTIONS、PUT、PATCH、DELETE、TRACE、CONNECT

    关于HTTP简介HTTP菜鸟教程 根据 HTTP 标准,HTTP 请求可以使用多种请求方法。 HTTP1.0 定义了三种请求方法: GET, POST 和 HEAD 方法。 HTTP1.1 新增了六种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法。 序号 方法 描述用途 1 GET 【 获取资源 】本质就是发送一个请求来取得服务

    2024年02月02日
    浏览(61)
  • 如何让Chrome浏览器允许http网站打开摄像头和麦克风

    问题来源: 本地运行的项目调用摄像头好用 访问线上地址,发现调用摄像头的方法都不存在。 问了度娘,发现该问题与浏览器的安全策略有关。出于安全考虑,浏览器是不允许随便开启摄像头的,https协议下方可开启。 这一项功能要用到谷歌浏览器的实验性功能,谷歌浏览

    2024年02月17日
    浏览(70)
  • jdk11环境 提示“因为 accessExternalDTD 属性设置的限制导致不允许 ‘http‘ 访问“bug

    在运行 mybatis 源码的时候,提示一下错误: 由于我的用的是 jdk11 ,解决方案是在 %JAVA_HOEE%conf 目录下,新建一个文件 jaxp.properties ,内容: 就可以解决了

    2024年02月15日
    浏览(44)
  • 关于降版本Tomcat10降到Tomcat9或者Tomcat8,提示找不到jakarta.servlet.http.HttpServletRequest包的解决方法

    Tomcat10相较于Tomcat9和8,在Servlet方面,对于javax.servlet包名改为了jakarta.servlet。 当你目前的项目是使用Tomcat10进行部署的,然后页面提示没有找到javax.servlet.http.HttpServletRequest包时,只有两种方法: 1、就是在Tomcat10的包下找到lib下的servlet-api.jar包 ,详情请看我上一篇文章:关于

    2024年01月25日
    浏览(42)
  • 【XSS漏洞03】XSS漏洞验证、语句构造与绕过方法

    常见概念 POC:全称 ’ Proof of Concept \\\',中文 ’ 概念验证 ’ ,常指一段漏洞证明的代码。 EXP:全称 ’ Exploit \\\',中文 ’ 利用 \\\',指利用系统漏洞进行攻击的动作。 Payload:中文 ’ 有效载荷 \\\',指成功exploit之后,真正在目标系统执行的代码或指令。 Shellcode:简单翻译 ’ she

    2024年02月05日
    浏览(50)
  • 一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞

    前言 一、服务器主机存在漏洞应该怎么修复? 二、报告中的高危漏洞(部分展示) 1.Microsoft Windows CredSSP 远程执行代码漏洞(CVE-2018-0886) 2.SSL/TLS协议信息泄露漏洞(CVE-2016-2183) 3.SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566) 4.SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 5.SSL/TLS 服务器瞬时

    2024年04月28日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包