9.0.6 http头如何修改

如何设置 X-Content-Type-Options: nosniff

扫描发现如下漏洞，如何解决

检测到目标X-Content-Type-Options响应头缺失
检测到目标X-XSS-Protection响应头缺失
检测到目标URL存在客户端（JavaScript）Cookie引用
检测到目标源码中可能存在用户名或者密码信息泄露
检测到目标Content-Security-Policy响应头缺失
检测到目标URL存在电话号码泄露
检测到目标Strict-Transport-Security响应头缺失
检测到目标Referrer-Policy响应头缺失
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
检测到目标X-Download-Options响应头缺失
点击劫持：X-Frame-Options未配置
检测到目标URL存在电子邮件地址模式
检测到目标网站存在上传下载相关的目录和文件

David.Zhong 发表于 2023-9-25 17:41
用什么工具扫描的知道吗？

不清楚了

用什么工具扫描的知道吗？

David.Zhong 发表于 2023-9-25 16:12
你这是用什么工具扫描的，看这报告感觉怪怪的。。。

不懂了

你这是用什么工具扫描的，看这报告感觉怪怪的。。。

是的，解决方案就是如何设置 X-Content-Type-Options: nosniff

是报告里面就没有写url信息吗还是？

大佬这应该是扫描的自己发布的应用url是吧？

David.Zhong 发表于 2023-9-25 15:23
大佬，能提供一下扫码结果的文档或者截图不？统一给开发反馈下，看看怎么处理。

附件

大佬，能提供一下扫码结果的文档或者截图不？统一给开发反馈下，看看怎么处理。

=================

好吧，给开发看看吧，看开发怎么说。
大佬，有两个方案，
方法1：通过编写服务器中间件，自定义HTTP Response Header
开发自定义中间件 (yuque.com)
方法2：使用反向代理，比如 ngix，也可以自定义 Http Response Header