Question

Я провел аудит своего веб-сайта на предмет проверки уязвимостей, и он предложил мне добавить заголовки безопасности;

Отсутствует заголовок безопасности для XSS Protection.

Отсутствует заголовок безопасности для предотвращения перехвата типа содержимого.

Отсутствует заголовок безопасности Strict-Transport-Security.

Утечка версии PHP. Ваш сайт отображает вашу версию PHP в Заголовки HTTP на https://www.mywebsite.com/blog/. Пожалуйста, установите expose_php = Off.

Я зашел в свой файл htaccess и попытался добавить некоторые заголовки, которые этот сайт рекомендует, вот что я попробовал:

RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Вышеуказанное работает для всего, кроме поддоменов my / blog, который, кстати, размещен на CMS.

Когда я добавляю заголовок ниже, мой сайт мгновенно перестает работать.

Strict-Transport-Security: max-age= Strict-Transport-Security: max-age=; 
includeSubDomains Strict-Transport-Security: max-age=; preload

Я совершенно неопытен в этой области и хочу удалить все уязвимости, обнаруженные сайтом аудита.

Morais · Answer 1 · 07 ноября 2018

Вам просто нужно добавить это в заголовок сайта:

Отсутствует защитный заголовок для XSS Protection: X-XSS-Protection: 1; Режим = блок

Отсутствует заголовок безопасности для предотвращения перехвата типа контента : X-Content-Type-Options: nosniff

Отсутствует заголовок безопасности Strict-Transport-Security : max-age = 31536000; includeSubDomains; поджать

Повторное сканирование / повторное тестирование, и уязвимости будут исправлены.

Некоторые интересные сайты, которые дают вам хорошую и глубокую перспективу с вашего сайта:

Miguel A. Friginal · Answer 2 · 06 ноября 2018

Я добавил этот код в свой файл htaccess и повторно просканировал сайт, и проблемы были решены.

<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block" //help protect against XSS
Header always append X-Frame-Options SAMEORIGIN //help protect against page-framing and clickjacking
Header set X-Content-Type-Options nosniff //help protect against content-sniffin
Header add Strict-Transport-Security "max-age=31415926;includeSubDomains;"//I believe this adds https before the domain on all pages.

</IfModule>

<IfModule mod_php5.c>
php_flag expose_php off //This stop divulging the php version
</IfModule>

Перейдите здесь для более кратких подробностей.

Как внедрить заголовки HTTP на мой сайт?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как внедрить заголовки HTTP на мой сайт?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов