---

前言

第三方安全檢測機構甩過來一篇漏洞掃描報告，需要我們整改。

---

一、漏洞掃描問題

漏洞掃描問題如下：

• 未設置X-Content-Type-Options響應頭【原理掃描】 未設置X-XSS-Protection響應頭【原理掃描】
• 未設置Strict-Transport-Security響應頭【原理掃描】 點擊劫持:無X-Frame-Options頭信息【原理掃描】
• 未設置Referrer-Policy響應頭【原理掃描】 未設置X-Download-Options響應頭【原理掃描】
• 未設置X-Permitted-Cross-Domain-Policies響應頭【原理掃描】
• 未設置Content-Security-Policy響應頭【原理掃描】

二、漏洞描述

• 防止跨站腳本攻擊（XSS）：通過設置CSP(Content-Security-Policy)，可以限制瀏覽器只加載和執行來自特定來源的腳本，從而防止惡意腳本注入和執行。
• 防止點擊劫持攻擊：通過設置X-Frame-Options響應頭，可以防止網頁被嵌入到其他網站的iframe中，避免用戶在不知情的情況下觸發惡意代碼。
• 提高網站安全性：通過設置STS(Strict-Transport-Security)響應頭，強制瀏覽器使用HTTPS協議與服務器通信，從而防止信息在傳輸過程中被竊取或篡改。
• 防止XSS攻擊：通過設置X-XSS-Protection響應頭，可以啟用特定的XSS過濾器，以防止XSS攻擊。
• 保護用戶隱私：通過設置Referrer-Policy響應頭，可以控制瀏覽器在請求時發送的referrer信息，以保護用戶的隱私。
• 限制API和功能使用：通過設置Permissions-Policy響應頭，可以限制網站可以使用的API和功能，從而降低潛在的安全風險。
• 防止信息泄露：將Server和X-Powered-By響應頭設置為“NONE”或刪除它們，可以防止暴露服務器類型和軟件版本信息，從而降低潛在的安全風險。

三、解決方法

3.1、Nginx配置概覽

server {server_name xxxxx.com;listen 443 ssl;add_header Strict-Transport-Security "max-age=63072000"; add_header X-XSS-Protection "1; mode=block";add_header X-Frame-Options SAMEORIGIN;add_header X-Content-Type-Options "nosniff";add_header Referrer-Policy "origin";add_header X-Download-Options noopen;add_header Content-Security-Policy "default-src 'self' data: *.xxx.com 'unsafe-inline' 'unsafe-eval' mediastream: ";add_header X-Permitted-Cross-Domain-Policies none;…
}

3.2、注意事項

這一行需要注意，根據自己的需求進行修改。
CSP是一個強大的安全工具，但它可能會阻止你的一些資源加載，比如一些第三方腳本或樣式表。因此，在你完全部署CSP策略之前，你可能需要在開發環境中進行測試，以確保沒有不需要的資源被CSP阻止加載。

add_header Content-Security-Policy "default-src 'self'; connect-src *; script-src * 'self' 'unsafe-eval' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; child-src https: http:; img-src * 'self' blob: data: https:; font-src * 'self' data:;media-src *; ";

四、感謝

如果覺得有用歡迎點贊關注收藏。
有問題私信我！！~~