8.0 httponly和head的相关设定

登录

本帖最后由 ken_hongbinfeng 于 2022-12-2 18:14 编辑

这些在IIS可以设定, 不知道活字格内是否可以设定?

Missing "Content-Security-Policy" header
Missing or insecure "X-Content-Type-Options" header
Missing or insecure Cross-Frame Scripting Defence
Missing "Referrer policy" Security Header

Missing HttpOnly Attribute in Session Cookie

需要关闭http api的版本号, 避免被攻击
有IIS的设定方式, 活字格的, 如果也可以关闭就最好了..
https://serverfault.com/questions/941585/how-to-remove-microsoft-httpapi-2-0-header-on-iis-8-and-10