漏洞名称:

  检测到目标X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、Strict-Transport-Security、Referrer-Polic、X-Permitted-Cross-Domain-Policies、X-Download-Options响应头缺失

修复方法:

  修改apache的配置文件httpd.conf,在网站目录配置下即<Directory "网站目录">段配置下,添加以下配置,重启生效

    Header always set X-Content-Type-Options nosniff

Header always append X-XSS-Protection '1; mode=block'

Header set Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;"

Header add Strict-Transport-Security "value"

Header add Referrer-Policy "value"

Header add X-Permitted-Cross-Domain-Policies "value"

Header add X-Download-Options "value"

  劫持:X-Frame-Options未配置

修复方法:

  修改apache的配置文件httpd.conf,在<Directory />段配置下,添加以下配置,重启生效

<Directory />
AllowOverride none
Require all denied
<LimitExcept POST GET>
Require valid-user
</LimitExcept>
</Directory>

  HTTP动词篡改的认证旁路

修复方法:

  修改apache的配置文件httpd.conf,在网站目录配置下即<Directory "网站目录">段配置下,添加以下配置,重启生效

    Header always append X-Frame-Options "DENY" 

  或者Header always append X-Frame-Options SAMEORIGIN

X-Frame-Options:值有三个:
  (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
  (2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
  (3)ALLOW-FROM https://example.com/:表示该页面可以在指定来源的 frame 中展示。