OwnCloud给我:
X-XSS-Protection HTTP头未configuration为等于"1; mode=block"
。 这是潜在的安全或隐私风险,我们build议调整此设置。
X-Content-Type-Options HTTP头未configuration为等于nosniff 。
这是潜在的安全或隐私风险,我们build议调整此设置。
X-Frame-Options HTTP标头未configuration为等于SAMEORIGIN 。
这是潜在的安全或隐私风险,我们build议调整此设置。
我应该如何保护它?
安全testing仅用于指导。 让我们先看看这些选项是什么,以了解他们究竟做了什么,以及他们是多么必要。
默认情况下, HTTP X-XSS-Protection XSSfilter被激活( 1 ),因此您可以通过设置0禁用它,或者OwnCloudbuild议您设置X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; mode=block ,这将导致更多的消毒:浏览器根本不会渲染页面,而只显示# 。
HTTP X-XSS-Protection响应头是Internet Explorer,Chrome和Safari的一项function,可以在检测到reflection的跨站点脚本(XSS)攻击时阻止加载页面。 虽然现代浏览器在网站实施禁用内联JavaScript('unsafe-inline')的强大内容安全策略时 ,这些保护措施在很大程度上是不必要的,但仍然可以为旧版Web浏览器的用户提供保护支持CSP。
虽然testing提示,你可能会在默认设置下很好。
IE8 X-Content-Type-Options: nosniff如果MIMEtypes与style / script的请求types不匹配,则X-Content-Type-Options: nosniff阻止请求。 目前由除Safari之外的所有主stream浏览器支持。
X-Content-Type-Options响应HTTP头是服务器使用的一个标记,用于指示在Content-Type头中公布的MIMEtypes不应该被改变并被遵循。 这允许select不使用MIMEtypes的嗅探 ,换句话说,这是一种说网站pipe理员知道他们在做什么的方式。
X-Frame-Options: SAMEORIGIN允许浏览器在<frame> , <iframe>或<object>渲染一个页面,只要它来自与页面本身相同的原点。
这对于XSS来说是一个很好的衡量标准,但这意味着即使源代码是合法的,例如YouTubevideo,也不能将这些标签embedded到任何外部内容中。 在这种情况下,设置X-Frame-Options: ALLOW-FROM http://www.youtube.com/会让你远离其他来源,但是你仍然会从这个testing中得到一个错误。
当您了解这些标头的用途时,您可以正确设置它们以增加安全性,而不会丢失您的站点所需的任何function。 所有XSS预防方法特别适用于用户或员工创build内容的网站。 在一个静态网站,你知道你在做什么,并控制每一页,他们有时可能是不必要的限制。
有了这些信息,使用add_header在Nginx中设置这些头文件并不困难:
add_header X-XSS-Protection "1; mode=block"; add_header X-Content-Type-Options nosniff; add_header X-Frame-Options SAMEORIGIN;
这些可以在http上下文中全局设置,也可以在server , location或location 。