找回密码
 立即注册

QQ登录

只需一步,快速开始

亮仔111

初级会员

24

主题

74

帖子

412

积分

初级会员

积分
412
亮仔111
初级会员   /  发表于:2023-9-25 11:43  /   查看:1804  /  回复:10
1金币
本帖最后由 亮仔111 于 2023-9-25 14:50 编辑

如何设置 X-Content-Type-Options: nosniff

扫描发现如下漏洞,如何解决

检测到目标X-Content-Type-Options响应头缺失
检测到目标X-XSS-Protection响应头缺失
检测到目标URL存在客户端(JavaScript)Cookie引用
检测到目标源码中可能存在用户名或者密码信息泄露
检测到目标Content-Security-Policy响应头缺失
检测到目标URL存在电话号码泄露
检测到目标Strict-Transport-Security响应头缺失
检测到目标Referrer-Policy响应头缺失
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
检测到目标X-Download-Options响应头缺失
点击劫持:X-Frame-Options未配置
检测到目标URL存在电子邮件地址模式
检测到目标网站存在上传下载相关的目录和文件

最佳答案

查看完整内容

好吧,给开发看看吧,看开发怎么说。 大佬,有两个方案, 方法1:通过编写服务器中间件,自定义HTTP Response Header 开发自定义中间件 (yuque.com) 方法2:使用反向代理,比如 ngix,也可以自定义 Http Response Header

10 个回复

正序浏览
亮仔111
初级会员   /  发表于:2023-9-25 17:49:02
10#
David.Zhong 发表于 2023-9-25 17:41
用什么工具扫描的知道吗?

不清楚了
回复 使用道具 举报
David.Zhong讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2023-9-25 17:41:21
9#
用什么工具扫描的知道吗?
回复 使用道具 举报
亮仔111
初级会员   /  发表于:2023-9-25 16:31:43
8#
David.Zhong 发表于 2023-9-25 16:12
你这是用什么工具扫描的,看这报告感觉怪怪的。。。

不懂了
回复 使用道具 举报
David.Zhong讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2023-9-25 16:12:35
7#
你这是用什么工具扫描的,看这报告感觉怪怪的。。。
回复 使用道具 举报
亮仔111
初级会员   /  发表于:2023-9-25 16:03:41
6#
是的,解决方案就是如何设置 X-Content-Type-Options: nosniff
回复 使用道具 举报
David.Zhong讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2023-9-25 15:58:33
5#
是报告里面就没有写url信息吗还是?

大佬这应该是扫描的自己发布的应用url是吧?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
亮仔111
初级会员   /  发表于:2023-9-25 15:43:30
4#
David.Zhong 发表于 2023-9-25 15:23
大佬,能提供一下扫码结果的文档或者截图不?统一给开发反馈下,看看怎么处理。

附件

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
David.Zhong讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2023-9-25 15:23:35
3#
大佬,能提供一下扫码结果的文档或者截图不?统一给开发反馈下,看看怎么处理。
回复 使用道具 举报
fanhuayimeng
论坛元老   /  发表于:2023-9-25 12:54:58
2#
本帖最后由 fanhuayimeng 于 2023-9-25 15:38 编辑

=================
回复 使用道具 举报
最佳答案
最佳答案
David.Zhong讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2023-9-25 11:43:15
来自 11#
本帖最后由 David.Zhong 于 2023-10-26 11:49 编辑

好吧,给开发看看吧,看开发怎么说。
大佬,有两个方案,
方法1:通过编写服务器中间件,自定义HTTP Response Header
开发自定义中间件 (yuque.com)
方法2:使用反向代理,比如 ngix,也可以自定义 Http Response Header
回复 使用道具 举报
12下一页
您需要登录后才可以回帖 登录 | 立即注册
返回顶部