-
缺少“Content-Security-Policy”头
nginx 中配置:add_header Content-Security-Policy "default-src 'self';img-src * data:";
-
缺少“X-Content-Type-Options”头
add_header X-Xss-Protection "1; mode=block";
-
缺少“X-XSS-Protection”头
add_header X-Xss-header “1;mode=block”;
-
修改“Access-Control-Allow-Origin”头以仅获取允许的站点
add_header Access-Control-Allow-Origin *; # add_header Access-Control-Allow-Origin *” 中的*代表任何网站都可以跳转到这个根目录,如果将*设置成www.a.com则只允许www.a.com访问该站点的根目录。
-
#允许跨域请求的域,* 代表所有
add_header 'Access-Control-Allow-Origin' *; 更具生产环境的需要也考虑安全一般都是只允许同域名进行跨域 add_header X-Frame-Options SAMEORIGIN; 但是又想要个别域名可以进行跨域需要这样配置 add_header X-Frame-Options SAMEORIGIN; add_header Content-Security-Policy "frame-ancestors http://域名";
-
#允许请求的header
add_header 'Access-Control-Allow-Headers' *;
-
允许带上cookie请求
add_header 'Access-Control-Allow-Credentials' 'true';
-
允许请求的方法,比如 GET,POST,PUT,DELETE
add_header 'Access-Control-Allow-Methods' *;
漏洞扫描-nginx配置--不定期跟新
猜你喜欢
转载自blog.csdn.net/weixin_44932410/article/details/120329139
今日推荐
周排行