问题说明:
政企网站通常需要进行安全漏洞审查,会有一些问题需要处理,一般情况下,分为“高风险漏洞”与“低风险问题”两大类。
-
高风险漏洞:可尝试修复处理
-
低风险问题:不是程序漏洞,需要自行处理,一般都在服务器上进行处理
常见问题:
缺少响应头:
例如缺少X-XSS-Protection、X-Content-Type-Options、Referrer-Policy等等响应头,可按照下方示例在服务器进行配置,也可以使用CDN直接在CDN上配置(推荐使用CDN)。
//Nginx环境 add_header X-XSS-Protection "1; mode=block"; //Apache环境 <IfModule mod_headers.c> Header always set X-XSS-Protection "1; mode=block" </IfModule>
| 常见低风险响应头 | 参考值 |
|---|---|
| X-Content-Type-Options | nosniff |
| X-XSS-Protection | 1;mode=block |
| Strict-Transport-Security | max-age=31536000 |
| Referrer-Policy | origin-when-cross-origin |
| X-Permitted-Cross-Domain-Policies | master-only |
| X-Download-Options | noopen |
| X-Frame-Options | SAMEORIGIN |
JavaScript库风险:
一般网站无需理会这些风险,如果政企网站卡在审查过不去,就必须要自行修改代码,使用无风险的库来替换。如需付费我们协助处理,需要按照具体情况来确认费用。