X-FRAME-OPTIONS显示两次,X-XSS-PROTECTION显示错误

时间:2017-10-04 13:07:31

标签: php laravel laravel-5 http-headers x-frame-options

我正在尝试修复标题。在我访问我的页面时检查网络请求时发现两个错误:

1)X-FRAME-OPTIONS: SAMEORIGIN显示两次:

Cache-Control:no-cache
Connection:Keep-Alive
Content-Encoding:gzip
Content-Type:text/html; charset=UTF-8
Date:Wed, 04 Oct 2017 12:58:30 GMT
Keep-Alive:timeout=3, max=1000
Server:Apache
Set-Cookie:laravel_session=eifQ%3D%3D; expires=Wed, 04-Oct-2017 14:58:30 GMT; Max-Age=7200; path=/; secure; httponly
Set-Cookie:XSRF-TOKEN=n0%3D; expires=Wed, 04-Oct-2017 14:58:30 GMT; Max-Age=7200; path=/
Transfer-Encoding:chunked
X-CDN:Incapsula
X-Frame-Options:SAMEORIGIN * <-------------- HERE
X-Frame-Options:SAMEORIGIN * <-------------- HERE
X-Iinfo:7-6626704-6651371 NNNN CT(0 0 0) RT(1507121414380 495318) q(0 1 1 -1) r(2 2) U16
X-XSS-Protection:%E2%80%9C1;mode=block%E2%80%9D <-------- Strange Encoding here...

2)我可以在X-XSS-PROTECTION的控制台上看到以下错误:

  

解析标题X-XSS-Protection时出错:â1; mode =blockâ:字符位置0预期为0或1.默认保护将被应用。

我使用的是Laravel 5.0。自Laravel 4.2以来,FrameGuard.php中间件默认不活动,但您可以选择在需要时启用它。当它被禁用时,我看到上面的错误,我真的无法理解为什么,所以我的第一个是通过实际使用该中间件来覆盖这些头。

当我添加包含以下代码的Illuminate\Http\Middleware\FrameGuard.php中间件时,似乎没有任何变化:

public function handle($request, Closure $next)
{
    $response = $next($request);

    $response->headers->set('X-XSS-Protection', '1; mode=block');
    $response->headers->set('Content-Type','text/html; charset=UTF-8');
    $response->headers->set('X-Frame-Options', 'SAMEORIGIN', true);

    return $response;
}

我还使用提供Facebook身份验证的Socialite。它是否有可能修改任何标题?

1 个答案:

答案 0 :(得分:5)

除了PHP发送的响应之外,Web服务器可能还会向响应添加标头。我们可以通过在 public 目录中创建一个空的HTML文件来检查Web服务器添加的标头,例如 public / dummy.html

然后,在浏览器中访问该页面http://example.com/dummy.html,并检查响应包含哪些标头。或者,我们可以使用 curl 命令显示响应标头:

$ curl -I 'http://example.com/dummy.html'

HTTP/2 200
date: Mon, 16 Oct 2017 20:34:24 GMT
...
x-xss-protection: 1; mode=block
x-frame-options: SAMEORIGIN

如果我们在此输出中看到x-xss-protectionx-frame-options标头,则表示网络服务器正在发送这些标头。在Web服务器配置中x-xss-protection可能存在损坏的值(看起来有人粘贴了程式化的双引号(“…”)而不是直接引号("…"),服务器将其解释为部分标题的值)。

对于 nginx ,在配置文件中查找add_header ...指令。如果使用Apache httpd ,请检查服务器配置中的Header set ...指令或 .htaccess 文件。

看起来该网站似乎也使用了Incapsula CDN,它可能也会注入标题,但我在Incapsula文档中找不到任何暗示这种情况的信息。

Laravel Socialite不会将这些标题添加到回复中。

相关问题
最新问题