网站漏洞扫描结果:不安全Http请求头和不安全的第三方链接

一、不安全Http请求头:

X-Content-Type-Options(Head字段)

X-XSS-Protection(Head字段)

X-Frame-Options(Head字段)

在IIS网站->HTTP响应头->修改如下:

原有: 名称:X-Powered-By 值:ASP.NET 在对应站点的HTTP响应头新增: 名称:X-Content-Type-Options 值:nosniff 名称:X-Frame-Options 值:SAMEORIGIN 名称:X-XSS-Protection 值:1

改后如图示:

网站漏洞扫描结果:不安全Http请求头和不安全的第三方链接

二、不安全的第三方链接

参考网址:
https://www.pianshen.com/article/9942760991/

超链接 target="_blank" 要增加 rel="nofollow noopener noreferrer" 来堵住钓鱼安全漏洞。如果你在链接上使用 target="_blank"属性,并且不加上rel="noopener"属性,那么你就让用户暴露在一个非常简单的钓鱼攻击之下 当你浏览一个页面点击一个a标签连接 <a href="www.baidu.com" target="_blank"> 跳转到另一个页面时, 在新打开的页面(baidu)中可以通过 window.opener获取到源页面的部分控制权, 即使新打开的页面是跨域的也照样可以(例如 location 就不存在跨域问题)。 rel=noopener 新特性 <a href="www.baidu.com" target="_blank" rel="noopener noreferrer"></a> 在chrome 49+,Opera 36+,打开添加了rel=noopener的链接, window.opener 会为null。在老的浏览器中,可以使用 rel=noreferrer 禁用HTTP头部的Referer属性,使用下面JavaScript代替target='_blank' 的解决此问题: var otherWindow = window.open('http://keenwon.com'); otherWindow.opener = null; otherWindow.location = url; 使用 window.open 打开页面,手动把opener设置为null

 

原文链接:https://www.cnblogs.com/pensive/p/13192401.html

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18142

(0)
上一篇 2023年10月8日 11:24
下一篇 2023年10月8日 12:28

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml