如何处理网站测试报告的风险问题?
问题说明:
政企网站通常需要进行安全漏洞审查,会有一些问题需要处理,一般情况下,分为“高风险漏洞”与“低风险问题”两大类。
-
高风险漏洞:可尝试修复处理
-
低风险问题:不是程序漏洞,需要自行处理,一般都在服务器上进行处理
常见问题:
缺少响应头:
例如缺少X-XSS-Protection
、X-Content-Type-Options
、Referrer-Policy
等等响应头,可按照下方示例在服务器进行配置,也可以使用CDN直接在CDN上配置(推荐使用CDN)。
//Nginx环境 add_header X-XSS-Protection "1; mode=block"; //Apache环境 <IfModule mod_headers.c> Header always set X-XSS-Protection "1; mode=block" </IfModule>
常见低风险响应头 | 参考值 |
---|---|
X-Content-Type-Options | nosniff |
X-XSS-Protection | 1;mode=block |
Strict-Transport-Security | max-age=31536000 |
Referrer-Policy | origin-when-cross-origin |
X-Permitted-Cross-Domain-Policies | master-only |
X-Download-Options | noopen |
X-Frame-Options | SAMEORIGIN |
JavaScript库风险:
一般网站无需理会这些风险,如果政企网站卡在审查过不去,就必须要自行修改代码,使用无风险的库来替换。如需付费我们协助处理,需要按照具体情况来确认费用。
路是自己走出来的,而不是选出来的。