我們在一些安全檢測工具中檢測網站安全時,經(jīng)常會出現一些響應頭缺失,如下:
X-XSS-Protection響應頭缺失
X-Content-Type-Options響應頭缺失
Content-Security-Policy響應頭缺失
Referrer-Policy響應頭缺失
X-Download-Options響應頭缺失
Strict-Transport-Security響應頭缺失
X-Frame-Options未配置
X-Permitted-Cross-Domain-Policies響應頭缺失
在IIS裡(lǐ)設置方法如下:
IIS管理器,如果隻設置一個網站就隻選擇對(duì)應網站,如果設置所有網站就選擇根目錄,再雙擊“HTTP響應頭”;右側的“操作”窗格中,選擇“添加”;輸入名稱和值,再單擊“确定”保存更改。
X-XSS-Protection設置
X-XSS-Protection : 1; mode=block
X-Content-Type-Options設置
X-Content-Type-Options:nosniff
Content-Security-Policy設置
Content-Security-Policy:*(加載所有内容)
Referrer-Policy設置
Referrer-Policy:"no-referrer-when-downgrade" always
X-Download-Options設置
X-Download-Options:noopen
Strict-Transport-Security設置
Strict-Transport-Security:"max-age=63072000; includeSubdomains; preload"
X-Frame-Options配置
X-Frame-Options:SAMEORIGIN
(DENY 禁止所有,SAMEORIGIN隻能(néng)本地,ALLOW-FROM uri指定網址)
X-Permitted-Cross-Domain-Policies設置
X-Permitted-Cross-Domain-Policies:none
QQ掃碼添加好(hǎo)友
微信掃碼添加好(hǎo)友