9.0.6 http头如何修改

David.Zhong

本帖最后由亮仔111 于 2023-9-25 14:50 编辑

如何设置 X-Content-Type-Options: nosniff

扫描发现如下漏洞，如何解决

检测到目标X-Content-Type-Options响应头缺失
检测到目标X-XSS-Protection响应头缺失
检测到目标URL存在客户端（JavaScript）Cookie引用
检测到目标源码中可能存在用户名或者密码信息泄露
检测到目标Content-Security-Policy响应头缺失
检测到目标URL存在电话号码泄露
检测到目标Strict-Transport-Security响应头缺失
检测到目标Referrer-Policy响应头缺失
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
检测到目标X-Download-Options响应头缺失
点击劫持：X-Frame-Options未配置
检测到目标URL存在电子邮件地址模式
检测到目标网站存在上传下载相关的目录和文件

David.Zhong · David.Zhong

本帖最后由 David.Zhong 于 2023-10-26 11:49 编辑

好吧，给开发看看吧，看开发怎么说。
大佬，有两个方案，
方法1：通过编写服务器中间件，自定义HTTP Response Header
开发自定义中间件 (yuque.com)
方法2：使用反向代理，比如 ngix，也可以自定义 Http Response Header

fanhuayimeng · fanhuayimeng

本帖最后由 fanhuayimeng 于 2023-9-25 15:38 编辑

=================

David.Zhong · David.Zhong

大佬，能提供一下扫码结果的文档或者截图不？统一给开发反馈下，看看怎么处理。

亮仔111 · 亮仔111

David.Zhong 发表于 2023-9-25 15:23
大佬，能提供一下扫码结果的文档或者截图不？统一给开发反馈下，看看怎么处理。

附件

David.Zhong · David.Zhong

是报告里面就没有写url信息吗还是？

大佬这应该是扫描的自己发布的应用url是吧？

亮仔111 · 亮仔111

是的，解决方案就是如何设置 X-Content-Type-Options: nosniff

David.Zhong · David.Zhong

你这是用什么工具扫描的，看这报告感觉怪怪的。。。

亮仔111 · 亮仔111

David.Zhong 发表于 2023-9-25 16:12
你这是用什么工具扫描的，看这报告感觉怪怪的。。。

不懂了

David.Zhong · David.Zhong

用什么工具扫描的知道吗？

		自动登录	找回密码
密码			立即注册

[已处理] 9.0.6 http头如何修改

最佳答案

10 个回复

本帖子中包含更多资源

本帖子中包含更多资源

活字格认证

活字格高级认证

微信认证勋章

讲师达人

悬赏达人

圣诞拼拼乐

时代开发者征文活动