国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

網站常見安全問題記錄(持續更新)

BDEEFE / 1266人閱讀

摘要:由此造成即使頁面的或者設置為,也無法讓整個網頁緊貼瀏覽器頂部,因為在一開頭有這個隱藏字符解決辦法保存文件為建議不要用記事本打開開發文件

說明 初衷:

本文檔用于記錄所遇到的網站安全問題,并分類匯總,方便后期遇到類似問題,能夠快速找到解決方案,提高效率,讓程序員有更多的時間去把妹,LOL...

記錄規范:

標題必須清晰明了,方便用戶快速查找,拒絕標題黨;

問題放到正確的分類中;

記錄問題的時候先闡述問題,再列出解決方法,盡量做到有圖有真相;

如果有對應的資料,可以附上鏈接;

記錄問題提交人,方便追蹤

Apache Cookie缺少HttpOnly、Secure標識 漏洞提示

描述

httponly是微軟對cookie做的擴展,這個主要是解決用戶的cookie可能被盜用的問題。
大家都知道,當我們去郵箱或者論壇登陸后,服務器會寫一些cookie到我們的瀏覽器,當下次再訪問其他頁面時,由于瀏覽器回自動傳遞cookie,這樣就實現了一次登陸就可以看到所有需要登陸后才能看到的內容。也就是說,實質上,所有的登陸狀態這些都是建立在cookie上的!假設我們登陸后的cookie被人獲得,那就會有暴露個人信息的危險!當然,想想,其他人怎么可以獲得客戶的cookie?那必然是有不懷好意的人的程序在瀏覽器里運行!如果是現在滿天飛的流氓軟件,那沒有辦法,httponly也不是用來解決這種情況的,它是用來解決瀏覽器里javascript訪問cookie的問題。試想,一個flash程序在你的瀏覽器里運行,就可以獲得你的cookie的!

修復方案

一、修改php配置文件php.ini

session.cookie_secure = 1
session.cookie_httponly = 1

暴力解決辦法:注釋掉對應信息

apache icons目錄問題

我們如果使用了apache服務器,當我訪問http://xxx.xxx.xxx/icons/時會自動顯示這個目錄下的所以文件列表,這行造成網站目錄信息的泄露對我們的網站安全造成威脅,在 關閉apache自動目錄列表功能的三種方法 這篇文章中的三種方法都不能禁止自動目錄列表,你如果使用網站安全監測,會提醒你發現目錄啟用了自動目錄列表功能,所以我們必須禁止它,經過測試,按如下步驟可以禁止:

打開目錄apache/conf/extra/下的文件httpd-autoindex.conf(位置可能有差異)
找到

Alias /icons/ "/xampp/apache/icons/"
 

    Options Indexes MultiViews
    AllowOverride None
    Require all granted

去掉Indexes改成


    Options  MultiViews
    AllowOverride None
    Require all granted

重啟apache服務器!

暴力解決辦法就是注釋掉或者直接刪除icons目錄

啟用了OPTIONS方法

在網站根目錄目錄下創建.htaccess文件,內容如下,如果您已有其他規則,請添加到第一條規則

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]

使用Apache的重寫規則來禁用Options方法和Trace方法

在Apache配置文件httpd-conf中【vhosts-conf】添加以下代碼:

多帶帶禁用Trace方法:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

多帶帶禁用Options方法:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]

同時禁用Trace方法和Options方法

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]

    DocumentRoot "D:wwwroot"
    ServerName www.abc.com
    ServerAlias abc.com
  
      Options FollowSymLinks ExecCGI
      AllowOverride All
      Order allow,deny
      Allow from all
      Require all granted
      RewriteEngine on
      RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
      RewriteRule .* - [F]
  
啟用了TRACE Method

同啟用了OPTIONS方法處理方法相同
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
或者在httpd.conf中添加配置:
TraceEnable off

X-Frame-Options頭未設置

在httpd.conf里面增加
Header always append X-Frame-Options SAMEORIGIN

錯誤頁面WEB應用服務器版本泄漏


修復方法:

關閉目錄瀏覽權限 描述
 
    Options Indexes FollowSymLinks 
    AllowOverride None 
    Order allow,deny 
    Allow from all 
 

options中Indexes表示當網頁不存在的時候允許索引顯示目錄中的文件

解決

將要設置的目錄對應配置參數下的Indexes刪除或者改為-Indexes(低版本可能會報錯)

 
    Options FollowSymLinks 
    AllowOverride None 
    Order allow,deny 
    Allow from all 
 

或者

 
    Options -Indexes FollowSymLinks 
    AllowOverride None 
    Order allow,deny 
    Allow from all 
 

缺少"x-content-type-options"頭

在httpd.conf里面增加
Header always set X-Content-Type-Options nosniff

其他 允許Flash文件與任何域HTML頁面通信 描述

解決方法

將參數AllowScriptAccess設置為never

jQuery版本警告

導致頁面空行 描述:

頁面的編碼如果是UTF-8 + BOM,會在body開頭處加入一個可見的控制符,導致頁面頭部會出現一個空白。這種編碼方式一般會在windows操作系統中出現,比如記事本編輯器,在保存一個以UTF-8編碼的文件時,會在文件開始的地方插入三個不可見的字符(0xEF 0xBB 0xBF,即BOM)。它是一串隱藏的字符,用于讓記事本等編輯器識別這個文件是否以UTF-8編碼。對于一般的文件,這樣并不會產生什么麻煩。但對于html來說,BOM是個大麻煩。因為瀏覽器在解析html頁面時,并不會忽略BOM,所以在解析html文件時,會把BOM作為該文件開頭正文的一部分,這串字符也將會被直接執行(在頁面中并不顯示)出來。由此造成即使頁面的 top或者padding 設置為0,也無法讓整個網頁緊貼瀏覽器頂部,因為在html一開頭有這3個隱藏字符!

解決辦法:

保存文件為utf-8

建議不要用記事本打開開發文件

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11445.html

相關文章

  • 網站常見安全問題記錄持續更新

    摘要:由此造成即使頁面的或者設置為,也無法讓整個網頁緊貼瀏覽器頂部,因為在一開頭有這個隱藏字符解決辦法保存文件為建議不要用記事本打開開發文件 說明 初衷: 本文檔用于記錄所遇到的網站安全問題,并分類匯總,方便后期遇到類似問題,能夠快速找到解決方案,提高效率,讓程序員有更多的時間去把妹,LOL... 記錄規范: 標題必須清晰明了,方便用戶快速查找,拒絕標題黨; 問題放到正確的分類中; 記錄問...

    Jason_Geng 評論0 收藏0
  • 網站常見安全問題記錄持續更新

    摘要:由此造成即使頁面的或者設置為,也無法讓整個網頁緊貼瀏覽器頂部,因為在一開頭有這個隱藏字符解決辦法保存文件為建議不要用記事本打開開發文件 說明 初衷: 本文檔用于記錄所遇到的網站安全問題,并分類匯總,方便后期遇到類似問題,能夠快速找到解決方案,提高效率,讓程序員有更多的時間去把妹,LOL... 記錄規范: 標題必須清晰明了,方便用戶快速查找,拒絕標題黨; 問題放到正確的分類中; 記錄問...

    LiveVideoStack 評論0 收藏0
  • 前端面試題總結——綜合問題(持續更新中)

    摘要:如何實現瀏覽器內多個標簽頁之間的通信阿里調用等本地存儲方式頁面可見性可以有哪些用途通過的值檢測頁面當前是否可見,以及打開網頁的時間等在頁面被切換到其他后臺進程的時候,自動暫停音樂或視頻的播放網頁驗證碼是干嘛的,是為了解決什么安全問題。 前端面試題總結——綜合問題(持續更新中) 1.頁面從輸入URL到頁面加載顯示完成,這個過程中都發生了什么?(流程說的越詳細越好) 1.輸入域名地址2.發...

    Lin_YT 評論0 收藏0
  • 前端面試題總結——綜合問題(持續更新中)

    摘要:如何實現瀏覽器內多個標簽頁之間的通信阿里調用等本地存儲方式頁面可見性可以有哪些用途通過的值檢測頁面當前是否可見,以及打開網頁的時間等在頁面被切換到其他后臺進程的時候,自動暫停音樂或視頻的播放網頁驗證碼是干嘛的,是為了解決什么安全問題。 前端面試題總結——綜合問題(持續更新中) 1.頁面從輸入URL到頁面加載顯示完成,這個過程中都發生了什么?(流程說的越詳細越好) 1.輸入域名地址2.發...

    elarity 評論0 收藏0
  • 前端面試題總結——綜合問題(持續更新中)

    摘要:如何實現瀏覽器內多個標簽頁之間的通信阿里調用等本地存儲方式頁面可見性可以有哪些用途通過的值檢測頁面當前是否可見,以及打開網頁的時間等在頁面被切換到其他后臺進程的時候,自動暫停音樂或視頻的播放網頁驗證碼是干嘛的,是為了解決什么安全問題。 前端面試題總結——綜合問題(持續更新中) 1.頁面從輸入URL到頁面加載顯示完成,這個過程中都發生了什么?(流程說的越詳細越好) 1.輸入域名地址2.發...

    harriszh 評論0 收藏0

發表評論

0條評論

BDEEFE

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<