修复建议
将服务器配置为使用安全策略的"Content-Security-Policy"头。
在web.config 配置文件中添加如下HTTP响应头:
<system.webServer>
<httpProtocol>?
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self';"/>
</customHeaders>
</httpProtocol>
</system.webServer>
使用meta标签:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'"/>
四、缺少"X-Content-Type-Options"头
漏洞描述
因Web应用程序编程或配置不安全,导致缺少"Content-Security-Policy"头,可能产生偷渡式下载攻击等隐患。
修复建议
将服务器配置为使用值为"nosniff"的"X-Content-Type-Options"头。
在web.config 配置文件中添加如下响应头:
<add name="X-Content-Type-Options" value="nosniff"/>
使用meta标签
<meta http-equiv="X-Content-Type-Options" content="nosniff" />
五、缺少"X-XSS-Protection"头
漏洞描述
因Web应用程序编程或配置不安全,导致缺少"Content-Security-Policy"头,可能产生跨站脚本攻击等隐患。
修复建议
将服务器配置为使用值为"1"(已启用)的"X-XSS-Protection"头。
1)在web.config 配置文件中添加如下响应头:
<add name="X-XSS-Protection" value="1;mode=block"/>
使用meta标签
<meta http-equiv="X-XSS-Protection" content="1;mode=block" />
六、缺少"HTTP Strict-Transport-Security"头
漏洞描述
因Web应用程序编程或配置不安全,导致缺少 HTTP Strict-Transport-Security 头。为了用户体验,有些网站允许使用HTTPS和HTTP访问,当用户使用HTTP访问时,网站会返回给用户一个302重定向到HTTPS地址,后续访问都使用HTTPS协议传输,但这个302重定向地址可能会被劫持篡改,被改成一个恶意的或者钓鱼HTTPS站点,导致敏感信息如用户名、密码、卡号或敏感文件位置泄露等风险。
修复建议
通过向 web 应用程序响应添加"Strict-Transport-Security"响应头来实施 HTTP 严格传输安全策略,或实施具有足够长"max-age"的 HTTP Strict-Transport-Security 策略,强制客户端(如浏览器)使用HTTPS与服务器创建连接。
七、容易出现点击劫持(Clickjacking)
漏洞描述
页面未能设置适当的X-Frame-Options或Content-Security-Policy HTTP头,则攻击者控制的页面可能将其加载到iframe中,导致点击劫持攻击,此类攻击属于一种视觉欺骗手段,主要实现方式有两种:一是攻击者将一个透明的iframe覆盖在一个网页上,诱使用户在该页面上进行操作,那么用户就在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义。
