我正在使用安全扫描工具来检查我的网络应用程序的漏洞。
其中一个结果是关于X-Content-Type-Options标题缺失的低警告。
经过一番挖掘后,我发现this post on setting apache to emit nosniff headers并将此代码放入httpd.conf文件中;
<IfModule mod_headers.c>
Header unset ETag
Header set X-Frame-Options: deny
Header set X-XSS-Protection: "1; mode=block"
Header set X-Content-Type-Options: nosniff
Header set X-WebKit-CSP: "default-src 'self'"
Header set X-Permitted-Cross-Domain-Policies: "master-only"
</IfModule>
它有效!但是,我的安全扫描工具发现我的Web服务器上的404 Not Found页面仍然给我这个警告。我猜测404错误页面设置为忽略上述规则..
有人可以向我解释如何更改此代码或建议替代方案,以便包含错误页面吗?
有人也可以解释一下上面的代码是做什么的吗?我实际上并不知道IfModule或mod_headers.c的实际含义。也许这就是我首先遇到麻烦的原因。