主要参考博客(部分其他内容其他来源): nginx漏扫响应头缺失
检测到目标X-Content-Type-Options响应头缺失
add_header X-Content-Type-Options nosniff;
|
检测到目标X-XSS-Protection响应头缺失
add_header X-XSS-Protection "1; mode=block";
|
检测到目标Content-Security-Policy响应头缺失
由“Content-Security-Policy“头缺失引起的总结
HTTP Content-Security-Policy缺失,快速解决
暂时不予处理、未正确配置可能导致线上js/css等资源访问异常情况发生
检测到目标服务器启用了OPTIONS方法
OPTIONS 漏洞修复
location / { ##### 只增加这里的配置,其他配置为默认 ##### ##### 增加支持 OPTIONS 方法 ##### add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; ##### 增加 OPTIONS 方法的返回结果 ##### if ($request_method = 'OPTIONS') { return 204; } root /usr/share/nginx/html; index index.html index.htm; }
|
检测到目标Strict-Transport-Security响应头缺失
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
|
检测到目标Referrer-Policy响应头缺失
add_header 'Referrer-Policy' 'origin';
|
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
add_header X-Permitted-Cross-Domain-Policies master-only;
|
检测到目标X-Download-Options响应头缺失
add_header X-Download-Options "noopen" always;
|
点击劫持:X-Frame-Options未配置
add_header X-Frame-Options SAMEORIGIN;
|