我使用Acunetix Web漏洞扫描程序扫描了我的Web应用程序,它说没有指定php.ini内容类型。
漏洞描述
此页面未设置Content-Type标头值。该值通知 浏览器期望什么样的数据。如果缺少此标头, 浏览器可能会错误地处理数据。这可能会导致 安全问题。
及其对“如何修复此漏洞”的建议是“为此页面设置Content-Type标头值。 “
这就是我在 php.ini
中的内容magic_quotes_gpc = Off;
register_globals = Off;
default_charset = "UTF-8";
memory_limit = 64M;
max_execution_time = 3600;
upload_max_filesize = 10M;
sql.safe_mode = Off;
mysql.connect_timeout = 20;
allow_url_fopen = Off;
;session.auto_start = Off;
;session.use_only_cookies = On;
;session.use_cookies = On;
;session.use_trans_sid = Off;
;session.cookie_httponly = On;
;session.gc_maxlifetime = 3600;
;session.cookie_secure =On;
;session.entropy_file = "/dev/urandom";
;display_errors = 1;
;error_reporting = E_ALL;
问题。如何在php.ini文件中设置内容类型标头值?
答案 0 :(得分:1)
检查文件权限。
来自PHP manual:
默认情况下,PHP将使用Content-Type输出媒体类型 头。要禁用此功能,只需将其设置为空。
PHP的内置默认媒体类型设置为text / html。
但是你的php.ini文件不是作为PHP页面提供的。你不应该把php.ini文件暴露给网络。有关PHP安全性的更多信息here。