我在漏洞检查器上审核了我的网站,它建议我需要添加安全标头;
缺少XSS保护的安全标头。
缺少用于阻止内容类型探查的安全标头。
缺少Strict Transport Security安全标头。
泄露的PHP版本。您的网站在上的HTTP标头https://www.mywebsite.com/blog/.请设置expose_php=关闭.
我转到我的htaccess文件,并尝试添加该网站推荐的一些标题,以下是我尝试过的:
RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
以上适用于除我/博客子域之外的所有内容,该子域偶尔托管在CMS上。
当我在下面添加标题时,我的网站立即停止工作。
Strict-Transport-Security: max-age= Strict-Transport-Security: max-age=;
includeSubDomains Strict-Transport-Security: max-age=; preload
我在这方面完全没有经验,我想删除审计网站发现的所有漏洞。
我将此代码添加到我的htaccess文件中,并重新扫描了网站,问题得到了解决。
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block" //help protect against XSS
Header always append X-Frame-Options SAMEORIGIN //help protect against page-framing and clickjacking
Header set X-Content-Type-Options nosniff //help protect against content-sniffin
Header add Strict-Transport-Security "max-age=31415926;includeSubDomains;"//I believe this adds https before the domain on all pages.
</IfModule>
<IfModule mod_php5.c>
php_flag expose_php off //This stop divulging the php version
</IfModule>
点击此处获取更简洁的详细信息。
您只需要将其添加到标题站点即可:
缺少XSS保护的安全标头:X-XSS-Protection:1;mode=阻止
缺少用于阻止内容类型探查的安全标头:X-Content-Type-Options:nosniff
缺少严格的传输安全性安全标头:最大年龄=31536000;includeSubDomains;预加载
重新扫描/重新测试,漏洞将得到修复。
一些有趣的网站,让你从你的网站上有一个美好而深刻的视角:
- SSL实验室
- HSTS预加载