站点类
X-Frame-Options头未设置
整改建议:
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
也可在代码中加入,在PHP中加入:
header('X-Frame-Options: deny')。
nginx server块中上添加以下内容
add_header X-Frame-Options SAMEORIGIN;
TLS协议BEAST漏洞
nginx上关闭低版本TLS
https://blog.csdn.net/qq_42287535/article/details/126040255
nginx 中添加一下内容
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
密码明文传输漏洞
前后端结合CryptoJS 做加解密处理 ,
前端输入密码后>将密码加密 >加密后的结果发送后端 ,后端给数据用户做解密 ,将解密数据做认证。