HCL AppScan Standard扫描有关前端Xss安全报告处理
报告问题描述
1.“X-Content-Type-Options”头缺失或不安全
2. “X-XSS-Protection”头缺失或不安全
3. HTTP Strict-Transport-Security 头缺失或不安全
4. “Content-Security-Policy”头缺失或不安全
5. 使用 HTTP 动词篡改的认证旁路
前面四个问题直接在nginx中添加响应头:
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000;includeSubDomains";
add_header Content-Security-Policy "default-src 'self' 'unsafe-eval'; img-src *";
相关解释:
1.X-Frame-Options: 响应头表示是否允许浏览器加载frame等属性,有三个配置DENY禁止任何网页被嵌入,SAMEORIGIN只允许本网站的嵌套,ALLOW-FROM允许指定地址的嵌套;
2.X-Content-Type-Options: 响应头用来指定浏览器对未指定或错误指定Content-Type资源真正类型的猜测行为,nosniff表示不允许任何猜测(即关闭浏览器的MIME嗅探功能)。在通常的请求响应中,浏览器会根据Content-Type来分辨响应的类型,但当响应类型未指定或错误指定时,浏览会尝试启用MIME-sniffing来猜测资源的响应类型,这是非常危险的。例如一个.jpg的图片文件被恶意嵌入了可执行的js代码,在开启资源类型猜测的情况下,浏览器将执行嵌入的js代码,可能会有意想不到的后果;
3.Strict-Transport-Security: max-age=31536000;includeSubDomains:指示浏览器只能通过HTTPS访问资源,禁止HTTP的方式访问;
4.X-XSS-Protection: 表示启用XSS过滤(禁用过滤为X-XSS-Protection: 0),mode=block表示若检查到XSS攻击则停止渲染页面;
5.Content-Security-Policy: HTTP 响应头 Content-Security-Policy 允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。
问题5就是没有特指允许哪些请求方式,在一般项目项目中就只有get/post请求,所以在nginx配置中指定一下允许那些请求类型即可
if ($request_method !~ ^(GET|POST)$ ) {return 403;
}
或者
if ($request_method !~* GET|POST) {return 403;
}
注:这边axios有个跨域探测会使用options方法所以这边放开了
最终修改完nginx配置后重启后响应头信息如下:
参考:
- https://www.cnblogs.com/damoblog/p/16135506.html
- https://blog.csdn.net/u014465934/article/details/84199171
- https://blog.csdn.net/weixin_45894220/article/details/126985628
HCL AppScan Standard扫描有关前端Xss安全报告处理相关推荐
- AppScan--图解web扫描工具IBM Security AppScan Standard
原文:http://blog.csdn.net/u013147600/article/details/50001825: 公司要扫描个Web系统漏洞,所以就简单的学习了下. App Scan用法: 首 ...
- 360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法
360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法 如何做好网站的安全性测试 360网站安全检测 - 在线安全检测,网站漏洞修复,网站后门检测 http://websc ...
- IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应头
一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss.现在,只有IE,chrome和safa ...
- Appscan安全扫描工具入门使用说明
目录 一.介绍 二.3个核心要素 三.下载与安装 3.1下载 3.2安装 四.Web端简单用法 五.扫描设置 5.1登录管理 5.2环境定义 5.3排除路径和文件 5.4探索选项 5.5通信和代理 5 ...
- IBM AppScan 安全扫描报告中部分问题的解决办法
IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性处理办法 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true: 解决办法: ...
- web用css做网页实验报告,web前端技术实验报告实验二
<web前端技术实验报告实验二>由会员分享,可在线阅读,更多相关<web前端技术实验报告实验二(7页珍藏版)>请在装配图网上搜索. 1.Web前端技术实验报告课程名称:Web ...
- 帮我写一个前端调薪报告
当然可以,下面是一份简单的前端调薪报告: 尊敬的 [公司/部门/领导]: 我是 [你的名字],是公司的一名前端工程师.我在公司已经工作了 [多长时间],并且一直努力工作,为公司创造价值. 在过去的一段 ...
- AppScan安全扫描工具-IBM Security App Scan Standard
1.AppScan是什么? AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等. AppS ...
- AppScan安全扫描问题解决方案
本人遇见过的扫描漏洞解决方案. 一.查询中的密码参数 [解决方案] password是关键字,把passwod的传参名称改为pcode或其他名称. 风险: 可能会窃取查询字符串中发送的敏感数据,例如用 ...
最新文章
- java.sql.SQLException: Data truncation: Truncated incorrect DOUBLE value
- ATMEGA328实验电路板
- LeetCode_Pascal's Triangle II_杨辉三角形II(Java实现)
- php 代码修改后 重新实例化_从匿名函数到PHP设计模式之容器模式
- struts2开发action 的三种方法以及通配符、路径匹配原则、常量
- 数数题(计数类 DP)做题记录
- Mysql递归查询,无限级上下级菜单
- 数据vs.算法,究竟谁更重要
- java连接phpstudy_PHPStudy快速自动搞定所有配置文件
- 语音的基本概念--译自CMU sphinx
- IT. IT-hyena成就自我
- git revert与git reset
- Thinkphp双轨直销系统源码
- [MATLAB/编程]报童的诀窍/报童问题-图解法和二分法
- 【无人机知识】吐血整理:史上最全最完整的飞机基本参数名称详解
- 【备忘】AAD Intune维护
- 如何用好erp系统【ERP】
- MyISAM InnoDB 怎么读
- Introduce·传播学核心期刊推荐之《现代传播(中国传媒大学学报)》
- (实测可用)STM32L431RCT6开发板-实验2 看门狗IWDG实验