IIS环境检测到网站存在响应头缺失漏洞解决办法

阿豪运维笔记(阿豪同学) 2022-07-25 3.18 K阅读

温馨提示:这篇文章已超过132天没有更新,请注意相关的内容是否还可用!

IIS环境下的网站存在响应头缺失漏洞如下

1、检测到目标X-Content-Type-Options响应头缺失

2、检测到目标X-XSS-Protection响应头缺失

3、检测到目标Content-Security-Policy响应头缺失  IIS设置

4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失  重新配置IIS

5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS

6、点击劫持:X-Frame-Options未配置  重新配置IIS

解决办法

说明:web.config配置需要2008系统以上才会生效

在网站目录下新建一个web.config配置文件写入如下内容

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <!--检测到目标X-Content-Type-Options响应头缺失-->
                <add name="X-Content-Type-Options" value="nosniff" />
                <!--检测到目标X-XSS-Protection响应头缺失-->
                <add name="X-XSS-Protection" value="1" />
                <!--检测到目标Content-Security-Policy响应头缺失-->
                <!-- <add name="Content-Security-Policy" value="default-src 'self'" /> -->
                <!--检测到目标Strict-Transport-Security响应头缺失-->
                <add name="Strict-Transport-Security" value="max-age=31536000" />
                <!--检测到目标Referrer-Policy响应头缺失-->
                <add name="Referrer-Policy" value="origin-when-cross-origin" />
                <!--检测到目标X-Permitted-Cross-Domain-Policies响应头缺失-->
                <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
                <!--检测到目标X-Download-Options响应头缺失-->
                <add name="X-Download-Options" value="noopen" />
                <!--点击劫持:X-Frame-Options未配置-->
                <add name="X-Frame-Options" value="deny" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

设置完后IIS HTTP响应头设置界面显示如下

image.png

浏览器F12调试界面下的响应标头显示如下

image.png

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作有参考学习价值
喜欢请点击上方【分享】,如果对您有帮助可点击上方【打赏】打赏本站。谢谢大家对阿豪运维笔记的支持。

文章作者: 阿豪运维笔记(阿豪同学)
本文链接:
文章版权:站长码字很辛苦,除非注明,否则均为阿豪运维笔记原创文章,转载或复制请以超链接形式并注明出处。

取消
微信二维码
微信二维码
支付宝二维码