目录

• 站点类
  • X-Frame-Options头未设置
    • nginx server块中上添加以下内容
  • TLS协议BEAST漏洞
    • nginx上关闭低版本TLS
  • 密码明文传输漏洞

站点类

X-Frame-Options头未设置

整改建议：
修改web服务器配置，添加X-frame-options响应头。赋值有如下三种：
(1)DENY：不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri：只能被嵌入到指定域名的框架中。
也可在代码中加入，在PHP中加入：
header('X-Frame-Options: deny')。

nginx server块中上添加以下内容

add_header X-Frame-Options SAMEORIGIN;

TLS协议BEAST漏洞

nginx上关闭低版本TLS

https://blog.csdn.net/qq_42287535/article/details/126040255
nginx 中添加一下内容
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

密码明文传输漏洞

前后端结合CryptoJS 做加解密处理 ，
前端输入密码后>将密码加密 >加密后的结果发送后端 ，后端给数据用户做解密 ，将解密数据做认证。