我通过漏洞检查器审核了我的网站,并建议我需要添加安全标头;
缺少XSS Protection的安全标头。
缺少安全性标头以防止内容类型嗅探。
缺少严格的传输安全性安全标头。
泄漏的PHP版本。您的网站正在显示您的PHP版本 https://www.mywebsite.com/blog/上的HTTP标头。请设定 exposure_php =关闭。
我转到htaccess文件,尝试添加this site推荐的一些标头,这是我尝试过的:
RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
以上内容适用于除/ blog子域(顺便托管在CMS上)以外的所有内容。
当我在下面添加标题时,我的网站立即停止工作。
Strict-Transport-Security: max-age= Strict-Transport-Security: max-age=;
includeSubDomains Strict-Transport-Security: max-age=; preload
我在这方面完全没有经验,并且想要删除审核网站发现的所有漏洞。
答案 0 :(得分:1)
您只需将其添加到您的标头网站:
缺少用于XSS保护的安全标头: X-XSS-Protection:1;模式=阻止
缺少用于防止内容类型嗅探的安全标头:X-Content-Type-Options:nosniff
缺少严格的传输安全性安全标头:max-age = 31536000; includeSubDomains;预载
重新扫描/重新测试,漏洞将得到解决。
一些有趣的网站,从您的网站可以为您提供美好而深刻的视角:
答案 1 :(得分:0)
我将此代码添加到了htaccess文件中,并重新扫描了网站,问题已解决。
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block" //help protect against XSS
Header always append X-Frame-Options SAMEORIGIN //help protect against page-framing and clickjacking
Header set X-Content-Type-Options nosniff //help protect against content-sniffin
Header add Strict-Transport-Security "max-age=31415926;includeSubDomains;"//I believe this adds https before the domain on all pages.
</IfModule>
<IfModule mod_php5.c>
php_flag expose_php off //This stop divulging the php version
</IfModule>
转到here可获得更简洁的详细信息。