【已办理】“X-Content-Type-Options”头缺失或不安全
Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,本日我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。
风险:可能会收集有关 Web
应用步伐的敏感信息,如用户名、密码、呆板名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、名誉卡号、社会保险号等敏感信息。
技能缘故原由:未设置此header时,会加载所有script文件,纵然它的MIME不是text/javascript等。运行潜在的脚本文件,会存在丢失数据的风险。
简单理解为:通过设置”X-Content-Type-Options:
nosniff”响应标头,对script 和 styleSheet 在实行是通过MIME 类型来过滤掉不安全的文件。
X-Content-Type-Options: nosniff
如果响应中吸收到 “nosniff” 指令,则欣赏器不会加载“script”文件,除非 MIME 类型匹配以下值之一:
[*]“application/ecmascript”
[*]“application/javascript”
[*]“application/x-javascript”
[*]“text/ecmascript”
[*]“text/javascript”
[*]“text/jscript”
[*]“text/x-javascript”
[*]“text/vbs”
[*]“text/vbscript”
Nginx Web服务器
[*] 在服务器块下的nginx.conf中添加以下参数
server {
listen 443;
server_name ds.v.com; # 驾驶安全
location / {
client_body_timeout7200;
proxy_read_timeout 7200;
proxy_send_timeout 7200;
proxy_pass http://127.0.0.1:9005/;
proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
add_header X-Content-Type-Options nosniff;
}
ssl_certificate "/etc/nginx/ssl/ds/ds.v.com.pem";
ssl_certificate_key "/etc/nginx/ssl/ds/ds.v.com.key";
# ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_protocols TLSv1.3;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
}
保存nginx.conf文件, 然后重新启动Nginx以查看结果。
https://img-blog.csdnimg.cn/9732980ad35c42788128eb8594f413dc.png
学习网络安全技能的方法无非三种:
第一种是报网络安全专业,如今叫网络空间安全专业,主要专业课程:步伐设计、计算机构成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、呆板学习,多媒体技能,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不外这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉本身没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你必要的话可以点击这里
页:
[1]