web站点常见漏洞及解决方法

1.PHP Web表单哈希冲突拒绝服务漏洞

漏洞分析：PHP 5.3.9之前版本在计算表单参数哈希值的实现上存在拒绝服务漏洞，该漏洞源于未提前限制哈希冲突。攻击者可利用该漏洞通过发送小量的特制webform表单张贴到受影响应用程序，导致使用PHP的站点失去响应正常请求的能力。

解决方法：升级php版本到5.3之后版本

2.PHP中header头设置：

header("X-Frame-Options:SAMEORIGIN"); // X-Frame-Options 响应头缺失
header("Referer-Policy:origin;");//Referer-Policy 响应头缺失
header("Content-Security-Policy:frame-ancestors 'self';");//Content-Security-Policy 响应头缺失
header("X-Permitted-Cross-Domain-Policies:'master-only';");//X-Permitted-Cross-Domain-Policies 响应头缺失
header("X-XSS-Protection:1; mode=block;");//X-XSS-Protection 响应头缺失
header("X-Download-Options: SAMEORIGIN;");//X-Download-Options 响应头缺失
header("X-Content-Type-Options:nosniff;");//X-Content-Type-Options 响应头缺失
header("Strict-Transport-Security:max-age=31536000;");//Strict-Transport-Security 响应头缺失

 3.页面插入video标签无法自动播放

<video class="video-source"
width="100%"
height="240px" /*如果有封面，请设置高度*/
controls="controls" /*这个属性规定浏览器为该视频提供播放控件*/
style="object-fit:fill" /*加这个style会让 Android / web 的视频在微信里的视频全屏，如果是在手机上预览，会让视频的封面同视频一样大小*/
webkit-playsinline="true" /*这个属性是ios 10中设置可以让视频在小窗内播放，也就是不是全屏播放*/
x-webkit-airplay="true" /*.支持Airplay的设备(如:音箱、Apple TV)播放*/
playsinline="true" /*IOS微信浏览器支持小窗内播放*/
x5-video-player-type="h5" /*启用H5播放器,是wechat安卓版特性*/
x5-video-orientation="h5" /*播放器支付的方向，landscape横屏，portraint竖屏，默认值为竖屏*/
x5-video-player-fullscreen="true" /*全屏设置，设置为 true 是防止横屏*/
preload="auto" /*这个属性规定页面加载完成后载入视频*/
autoplay="autoplay" /**如果出现该属性，则视频在就绪后马上播放。**/
loop="loop" /**如果出现该属性，则当媒介文件完成播放后再次开始播放。**/
poster="../assets/images/cms/v2.jpg" /**规定视频正在下载时显示的图像，直到用户点击播放按钮。**/
muted="muted" /**如果出现该属性，视频的音频输出为静音。**/
>
<source src="../assets/video/index.mp4" type="video/mp4">
<source src="movie.ogg" type="video/ogg">
您的浏览器不支持 video 标签。
</video>
问题一
video标签设置 autoplay 无效，一般的解决办法是 在video标签上设置 muted 属性 即可。