我们在新的.NET Web应用程序上完成了PenTest,并对html页面中包含的JavaScript文件发出警告。所有这些都是第三方图书馆,如:
knockout-3.0.0.js,jquery.validate.js,jquery-ui-1.0.2.js,jquery-migrate-1.2.1.js,jquery.js,jquery.unobtrusive.js,jquery.validate的.js .....
有没有办法解决这些问题?
示例:
反CSRF令牌扫描程序
风险:高
可靠性:警告
网址:1 - https://www.ourwebaddress.com/Scripts/knockout-3.0.0.min.js
参数:无。仅警告。
攻击:以下HTML中未找到任何已知的反CSRF令牌 .................................................. ......................
缺少X-Content-Type-Options标题
风险:低
可靠性:警告
网址: 1 - https://www.ourwebaddress.com/Scripts/knockout-3.0.0.min.js .................................................. ......................
未启用Web浏览器XSS保护
风险:高
可靠性:警告
网址 1 - https://www.ourwebaddress.com/Scripts/knockout-3.0.0.min.js
X-XSS-Protection HTTP响应标头允许Web服务器启用或禁用Web浏览器的XSS保护机制。
以下值将尝试启用它:
X-XSS-Protection:1; mode = block
X-XSS-Protection:1; report = http://www.example.com/xss
以下值将禁用它:
X-XSS-Protection:0 Internet Explorer,Chrome和Safari(WebKit)目前支持X-XSS-Protection HTTP响应标头。