银弹谷零代码开发平台 - 安全扫描报缺少“X-XSS-Protection”头等系列问题描述: 缺少“X-XSS-Protection”头 缺少“X-Content-Type-Options”头 缺少“Content-Security-Policy”头 缺少 HTTP Strict-Transport-Security 头 会话 cookie 中缺少 HttpOnly 属性 支持不推荐使用的 SSL 版本 跨站点请求伪造
回复 使用nginx,如已有nginx,请添加如下配置: #设置HSTS,强制需要输入https或http add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”; #这是为了失效某些浏览器的内容类型探嗅 #add_header X-Content-Type-Options nosniff; #防止跨站脚本 Cross-site scripting (XSS) add_header X-XSS-Protection “1; mode=block”; add_header Set-Cookie “HttpOnly”; add_header Set-Cookie “Secure”; add_header X-Frame-Options “SAMEORIGIN”; add_header Content-Security-Policy: ‘default-src self’; 如使用https,在配置https的server块添加如下配置: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; 如没有nginx,请在附件下载nginx.zip,已封装好以上内容。 ————————————————
原文链接:www.yindangu.com/
