隐藏

【绿盟】检测到目标Strict-Transport-Security响应头缺失

发布:2023/12/7 15:49:41作者:大数据 来源:大数据 浏览次数:676

1.问题展示
网站安全漏洞扫描、应用系统项目安全扫描,扫到以下问题。

检测到目标URL存在客户端(JavaScript)Cookie引用

检测到目标Strict-Transport-Security响应头缺失

检测到目标Referrer-Policy响应头缺失

检测到目标X-Permitted-Cross-Domain-Policies响应头缺失

检测到目标X-Download-Options响应头缺失

点击劫持:X-Frame-Options未配置

2. 解决问题
设置统一过滤器,过滤所有请求,设置以上响应头,即可解决问题。

————————————————
版权声明:本文为CSDN博主「这把躺赢」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zqqiang0307/article/details/120905725

 

IIS解决问题如下:设置web.config,参考以下对应代码

 

配置完有有可能报500 Internal Server Error或网站显示不正常,主要原因是主目录与虚目录继承关系所致。

可以添加<clear />,如上代码

IIS7.5上在站点下部署虚拟目录,访问虚拟目录下的项目提示与父节点配置冲突导致。

IIS中虚拟目录设置不继承主站点web.config的方法

#方法一:在主目录中使用location标签;

即通过修改根目录的Web.config消除继承关系,在根目录Web.config文件的system.web或者一切不想让子目录继承的配置节点外面添加一层location如下:

inheritInChildApplications ,即是否允许子目录继承,默认为true,我们修改为false就可以避免继承了。这种方法的优点是很简单,但是不够灵活。

#方法二:在子目录中使用clear或remove屏蔽不需要配置;

不用修改根目录的Web.config文件,而是修改子目录的Web.config。假设根目录的Web.config设置了一个名为pscp的连接字符串,要在子目录使用另一个名字为pscp的连接字符串,就需要先清除已有的连接字符串(根目录继承下来的connectionString设置);
清除所有的配置,可以用clear语法,清除指定名称的配置,可以用remove语法,如下:

注意上面的<clear />和<remove ... />用法

声明:本站内容来源于原创和互联网,尊重作者版权,转载请注明来源网址,欢迎收藏,谢谢!