【绿盟】检测到目标Strict-Transport-Security响应头缺失

2年前 35,335 0

1.问题展示
网站安全漏洞扫描、应用系统项目安全扫描，扫到以下问题。

检测到目标URL存在客户端（JavaScript）Cookie引用

检测到目标Strict-Transport-Security响应头缺失

检测到目标Referrer-Policy响应头缺失

检测到目标X-Permitted-Cross-Domain-Policies响应头缺失

检测到目标X-Download-Options响应头缺失

点击劫持：X-Frame-Options未配置

2. 解决问题
设置统一过滤器，过滤所有请求，设置以上响应头，即可解决问题。

~~~java

/**

* @author ZQQ

* @version 1.0

* @date 2021/9/22 15:54

* @desc :

@WebFilter(urlPatterns = "/*", filterName = "responseHeadFilter")

public class ResponseHeadFilter implements Filter {

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException, IOException {

//增加响应头缺失代码

HttpServletRequest req=(HttpServletRequest)request;

HttpServletResponse res=(HttpServletResponse)response;

res.addHeader("X-Frame-Options","SAMEORIGIN");

res.addHeader("Referrer-Policy","origin");

res.addHeader("Content-Security-Policy","object-src 'self'");

res.addHeader("X-Permitted-Cross-Domain-Policies","master-only");

res.addHeader("X-Content-Type-Options","nosniff");

res.addHeader("X-XSS-Protection","1; mode=block");

res.addHeader("X-Download-Options","noopen");

res.addHeader("Strict-Transport-Security","max-age=63072000; includeSubdomains; preload");

//处理cookie问题

Cookie[] cookies = req.getCookies();

if (cookies != null) {

for (Cookie cookie : cookies) {

String value = cookie.getValue();

StringBuilder builder = new StringBuilder();

builder.append(cookie.getName()+"="+value+";");

builder.append("Secure;");//Cookie设置Secure标识

builder.append("HttpOnly;");//Cookie设置HttpOnly

res.addHeader("Set-Cookie", builder.toString());

}

chain.doFilter(request, response);

}

@Override

public void destroy() {

}

~~~

————————————————
版权声明：本文为CSDN博主「这把躺赢」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/zqqiang0307/article/details/120905725

IIS解决问题如下：设置web.config，参考以下对应代码

<?xml version="1.0" encoding="utf-8"?>

<system.webServer>

</handlers>

</headerLimits>

</requestLimits>

</requestFiltering>

</security>

</system.webServer>

</location>

<system.applicationHost>

</system.applicationHost>

<system.webServer>

</customHeaders>

</httpProtocol>

</system.webServer>

</configuration>

配置完有有可能报500 Internal Server Error或网站显示不正常，主要原因是主目录与虚目录继承关系所致。

可以添加<clear />，如上代码

IIS7.5上在站点下部署虚拟目录,访问虚拟目录下的项目提示与父节点配置冲突导致。

IIS中虚拟目录设置不继承主站点web.config的方法

#方法一：在主目录中使用location标签；

即通过修改根目录的Web.config消除继承关系，在根目录Web.config文件的system.web或者一切不想让子目录继承的配置节点外面添加一层location如下：

<system.web>

</system.web>

</location>

</configuration>

inheritInChildApplications ,即是否允许子目录继承，默认为true，我们修改为false就可以避免继承了。这种方法的优点是很简单，但是不够灵活。

#方法二：在子目录中使用clear或remove屏蔽不需要配置；

不用修改根目录的Web.config文件，而是修改子目录的Web.config。假设根目录的Web.config设置了一个名为pscp的连接字符串，要在子目录使用另一个名字为pscp的连接字符串，就需要先清除已有的连接字符串（根目录继承下来的connectionString设置）；
清除所有的配置，可以用clear语法，清除指定名称的配置，可以用remove语法，如下：

</configSections>

</connectionStrings>

<system.webServer>

</staticContent>

</system.webServer>

</configuration>

注意上面的<clear />和<remove ... />用法

声明：本站内容来源于原创和互联网，尊重作者版权，转载请注明来源网址，欢迎收藏，谢谢！

【绿盟】检测到目标Strict-Transport-Security响应头缺失

配置完有有可能报500 Internal Server Error或网站显示不正常，主要原因是主目录与虚目录继承关系所致。

IIS中虚拟目录设置不继承主站点web.config的方法

#方法一：在主目录中使用location标签；

#方法二：在子目录中使用clear或remove屏蔽不需要配置；

发表评论

发表评论取消回复

配置完有有可能报500 Internal Server Error或网站显示不正常，主要原因是主目录与虚目录继承关系所致。

IIS中虚拟目录设置不继承主站点web.config的方法

#方法一：在主目录中使用location标签；

#方法二：在子目录中使用clear或remove屏蔽不需要配置；

相关文章

发表评论

发表评论 取消回复

发表评论取消回复