網(wǎng)站低危漏洞通過偽靜態(tài)功能處理方法

很多網(wǎng)站通過第三方平臺掃描會出現(xiàn)很多低危漏洞，特別是使用綠盟進行安全檢測經(jīng)常會出現(xiàn)。Linux和虛擬主機都會有這個情況，可以通過偽靜態(tài)的方式進行設置。

l Windows主機

Windows主機需要在wwwroot目錄下的web.config里面添加以下規(guī)則：

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

    <system.webServer>

     <httpProtocol>

    <customHeaders>

<!--檢測到目標X-Content-Type-Options響應頭缺失-->

<add name="X-Content-Type-Options" value="nosniff" />

<!--檢測到目標X-XSS-Protection響應頭缺失-->

<add name="X-XSS-Protection" value="1;mode=block" />

<!--檢測到目標Content-Security-Policy響應頭缺失-->

<add name="Content-Security-Policy" value="default-src 'self' 'unsafe-inline' ; img-src 'self' data:" />

<!--檢測到目標Strict-Transport-Security響應頭缺失-->

<add name="Strict-Transport-Security" value="max-age=31536000" />

<!--檢測到目標Referrer-Policy響應頭缺失-->

<add name="Referrer-Policy" value="origin-when-cross-origin" />

<!--檢測到目標X-Permitted-Cross-Domain-Policies響應頭缺失-->

<add name="X-Permitted-Cross-Domain-Policies" value="master-only" />

<!--檢測到目標X-Download-Options響應頭缺失-->

<add name="X-Download-Options" value="noopen" />

<!--點擊劫持：X-Frame-Options未配置-->

<add name="X-Frame-Options" value="SAMEORIGIN" />

    </customHeaders>

</httpProtocol>

    </system.webServer>

</configuration>

請注意規(guī)則必須要添加的節(jié)點，如果添加錯誤會導致網(wǎng)站無法打開。

l Linux主機

在wwwroot目錄下的.htaccess中添加以下規(guī)則：

#檢測到目標X-Content-Type-Options響應頭缺失

Header set X-Content-Type-Options "nosniff"

#檢測到目標X-XSS-Protection響應頭缺失

Header set X-XSS-Protection "1; mode=block"

#檢測到目標Strict-Transport-Security響應頭缺失

Header set Strict-Transport-Security: "max-age=31536000 ; includeSubDomains ;"

#檢測到目標Referrer-Policy響應頭缺失

Header set Referrer-Policy: strict-origin-when-cross-origin

#檢測到目標X-Permitted-Cross-Domain-Policies響應頭缺失

Header set X-Permitted-Cross-Domain-Policies "master-only"

#檢測到目標X-Download-Options響應頭缺失

Header set X-Download-Options "noopen"

#點擊劫持：X-Frame-Options未配置

Header set X-Frame-Options "SAMEORIGIN"

注意：無論windows還是Linux主機，添加規(guī)則即可生效不需要做其他設置。