如何处理网站测试报告的风险问题?

问题说明:

政企网站通常需要进行安全漏洞审查,会有一些问题需要处理,一般情况下,分为“高风险漏洞”与“低风险问题”两大类。

  • 高风险漏洞:可尝试修复处理

  • 低风险问题:不是程序漏洞,需要自行处理,一般都在服务器上进行处理

常见问题:

缺少响应头:

例如缺少X-XSS-ProtectionX-Content-Type-OptionsReferrer-Policy等等响应头,可按照下方示例在服务器进行配置,也可以使用CDN直接在CDN上配置(推荐使用CDN)。

//Nginx环境
add_header X-XSS-Protection "1; mode=block";
 
//Apache环境
<IfModule mod_headers.c>
    Header always set X-XSS-Protection "1; mode=block"
</IfModule>
常见低风险响应头参考值
X-Content-Type-Options nosniff
X-XSS-Protection 1;mode=block
Strict-Transport-Security max-age=31536000
Referrer-Policy origin-when-cross-origin
X-Permitted-Cross-Domain-Policies master-only
X-Download-Options noopen
X-Frame-Options SAMEORIGIN

JavaScript库风险:

一般网站无需理会这些风险,如果政企网站卡在审查过不去,就必须要自行修改代码,使用无风险的库来替换。如需付费我们协助处理,需要按照具体情况来确认费用。

posted @ 2023-07-27 16:24  瑆箫  阅读(54)  评论(0编辑  收藏  举报