我目前使用Apache服务器为我的项目Wamp应用程序。在进行安全扫描时,报告出现了2个错误:
- 服务器通过"x - powered - by"泄露信息HTTP响应头字段
- 缺少反csrf令牌
我需要做什么来解决这些问题?谢谢你。
这里有一个帮助,你可以实现csrf令牌:https://code-boxx.com/simple-csrf-token-php/
你可以在这里阅读更多关于什么是csrf令牌以及它为什么有用的信息:https://portswigger.net/web-security/csrf/tokens
CSRF令牌是唯一的、秘密的、不可预测的值由服务器端应用程序生成并传输到客户端的后续HTTP请求中包含它客户端。当发出后一个请求时,服务器端应用程序验证请求是否包含预期的令牌和如果令牌缺失或无效,则拒绝请求。
CSRF令牌可以防止CSRF攻击,因为它使一个攻击者构造适合提供的完全有效的HTTP请求致受害用户。由于攻击者无法确定或预测用户的CSRF令牌的值,他们不能用所有值构造请求参数是应用程序执行请求。
要删除X-Powered-By,可以在php.ini文件中设置expose_php = off