IIS环境检测到网站存在响应头缺失漏洞解决办法
IIS环境下的网站存在响应头缺失漏洞如下
1、检测到目标X-Content-Type-Options响应头缺失
2、检测到目标X-XSS-Protection响应头缺失
3、检测到目标Content-Security-Policy响应头缺失 IIS设置
4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS
5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS
6、点击劫持:X-Frame-Options未配置 重新配置IIS
解决办法
说明:web.config配置需要2008系统以上才会生效
在网站目录下新建一个web.config配置文件写入如下内容
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtocol> <customHeaders> <!--检测到目标X-Content-Type-Options响应头缺失--> <add name="X-Content-Type-Options" value="nosniff" /> <!--检测到目标X-XSS-Protection响应头缺失--> <add name="X-XSS-Protection" value="1" /> <!--检测到目标Content-Security-Policy响应头缺失--> <!-- <add name="Content-Security-Policy" value="default-src 'self'" /> --> <!--检测到目标Strict-Transport-Security响应头缺失--> <add name="Strict-Transport-Security" value="max-age=31536000" /> <!--检测到目标Referrer-Policy响应头缺失--> <add name="Referrer-Policy" value="origin-when-cross-origin" /> <!--检测到目标X-Permitted-Cross-Domain-Policies响应头缺失--> <add name="X-Permitted-Cross-Domain-Policies" value="master-only" /> <!--检测到目标X-Download-Options响应头缺失--> <add name="X-Download-Options" value="noopen" /> <!--点击劫持:X-Frame-Options未配置--> <add name="X-Frame-Options" value="deny" /> </customHeaders> </httpProtocol> </system.webServer> </configuration>
设置完后IIS HTTP响应头设置界面显示如下
浏览器F12调试界面下的响应标头显示如下
若文章图片、下载链接等信息出错,请联系反馈,博主将第一时间更新!如果喜欢本站,请打赏支持本站,谢谢!
文章版权声明:除非注明,否则均为阿豪运维笔记原创文章,转载或复制请以超链接形式并注明出处。
