提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少secure属性的处理。
配置文件路径:/etc/httpd/conf/httpd.conf
一、允许TRACE方法
编辑配置文件:
/etc/httpd/conf/httpd.conf
在文件最后一行加上 TraceEnable off
如果不行的话在 vhost.conf 也加上以上的指令,重启apache
/etc/init.d/httpd restart
或是在httpd.conf里面每一个visual host里面加以下的module(RrwriteEngine需要compiler)
RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
这一点比较复杂visual host都加上…重启
/etc/init.d/httpd restart 稍后生效
二、HTTP X-XSS-Protection缺失
修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效
Header always append X-XSS-Protection '1; mode=block'
三、HTTP Content-Security-Policy缺失
修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效
Header set Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;"
四、HTTP X-Download-Options缺失
修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效
Header add X-Download-Options "value"
五、HTTP X-Content-Type-Options缺失
修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效
Header always set X-Content-Type-Options nosniff
六、HTTP X-Permitted-Cross-Domain-Policies缺失
修改apache的配置文件httpd.conf,在网站目录配置下即<Directory “网站目录”>段配置下,添加以下配置,重启生效
Header add X-Permitted-Cross-Domain-Policies "value"
七、X-Frame-Options Header未配置
修改apache的配置文件httpd.conf,在<Directory “网站目录”>段配置下,添加以下配置,重启生效
<Directory />
AllowOverride none
Require all denied
<LimitExcept POST GET>
Require valid-user
</LimitExcept>
</Directory>
八、会话Cookie中缺少HttpOnly属性、会话Cookie中缺少secure属性
框架的入口文件插入文章来源:https://www.toymoban.com/news/detail-470090.html
ini_set('session.cookie_httponly', true);
ini_set('session.cookie_secure', true);
$session->start();
总结
汇总下配置文件的编辑内容如下:文章来源地址https://www.toymoban.com/news/detail-470090.html
<VirtualHost *:80>
ServerAdmin ***
ServerName www.***.com
ServerAlias ***.com
DocumentRoot /home/website/
DirectoryIndex index.shtml
<Directory "/home/website/">
AllowOverride All
Order allow,deny
Allow from all
Header always append X-XSS-Protection '1; mode=block'
Header set Content-Security-Policy "default-src 'self' localhost:80 'unsafe-inline' 'unsafe-eval' blob: data: api.map.baidu.com *.bdimg.com;"
Header add X-Download-Options "value"
Header always set X-Content-Type-Options nosniff
Header add X-Permitted-Cross-Domain-Policies "value"
<LimitExcept POST GET>
Require valid-user
</LimitExcept>
</Directory>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-d
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-f
RewriteRule ^/(.*)$ /index.php?_url=/$1 [QSA,L]
RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
</IfModule>
php_flag magic_quotes_gpc 0
</VirtualHost>
到了这里,关于关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
