摘要:由此造成即使頁面的或者設置為�����,也無法讓整個網頁緊貼瀏覽器頂部,因為在一開頭有這個隱藏字符解決辦法保存文件為建議不要用記事本打開開發文件
說明
初衷:
本文檔用于記錄所遇到的網站安全問題�����,并分類匯總���,方便后期遇到類似問題����,能夠快速找到解決方案,提高效率���,讓程序員有更多的時間去把妹,LOL...
記錄規范:
標題必須清晰明了�����,方便用戶快速查找�,拒絕標題黨;
問題放到正確的分類中���;
記錄問題的時候先闡述問題,再列出解決方法��,盡量做到有圖有真相��;
如果有對應的資料���,可以附上鏈接���;
記錄問題提交人����,方便追蹤
Apache
Cookie缺少HttpOnly�、Secure標識
漏洞提示
描述
httponly是微軟對cookie做的擴展�,這個主要是解決用戶的cookie可能被盜用的問題。
大家都知道,當我們去郵箱或者論壇登陸后,服務器會寫一些cookie到我們的瀏覽器,當下次再訪問其他頁面時,由于瀏覽器回自動傳遞cookie��,這樣就實現了一次登陸就可以看到所有需要登陸后才能看到的內容���。也就是說��,實質上��,所有的登陸狀態這些都是建立在cookie上的�!假設我們登陸后的cookie被人獲得����,那就會有暴露個人信息的危險!當然,想想�����,其他人怎么可以獲得客戶的cookie��?那必然是有不懷好意的人的程序在瀏覽器里運行�!如果是現在滿天飛的流氓軟件�,那沒有辦法,httponly也不是用來解決這種情況的����,它是用來解決瀏覽器里javascript訪問cookie的問題�。試想����,一個flash程序在你的瀏覽器里運行,就可以獲得你的cookie的��!
修復方案
一�、修改php配置文件php.ini
session.cookie_secure = 1
session.cookie_httponly = 1
暴力解決辦法:注釋掉對應信息
apache icons目錄問題
我們如果使用了apache服務器,當我訪問http://xxx.xxx.xxx/icons/時會自動顯示這個目錄下的所以文件列表,這行造成網站目錄信息的泄露對我們的網站安全造成威脅����,在 關閉apache自動目錄列表功能的三種方法 這篇文章中的三種方法都不能禁止自動目錄列表,你如果使用網站安全監測��,會提醒你發現目錄啟用了自動目錄列表功能�����,所以我們必須禁止它�����,經過測試,按如下步驟可以禁止:
打開目錄apache/conf/extra/下的文件httpd-autoindex.conf(位置可能有差異)
找到
Alias /icons/ "/xampp/apache/icons/"
Options Indexes MultiViews
AllowOverride None
Require all granted
去掉Indexes改成
Options MultiViews
AllowOverride None
Require all granted
重啟apache服務器��!
暴力解決辦法就是注釋掉或者直接刪除icons目錄
啟用了OPTIONS方法
在網站根目錄目錄下創建.htaccess文件����,內容如下,如果您已有其他規則,請添加到第一條規則
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]
使用Apache的重寫規則來禁用Options方法和Trace方法
在Apache配置文件httpd-conf中【vhosts-conf】添加以下代碼:
多帶帶禁用Trace方法:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
多帶帶禁用Options方法:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]
同時禁用Trace方法和Options方法
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
DocumentRoot "D:wwwroot"
ServerName www.abc.com
ServerAlias abc.com
Options FollowSymLinks ExecCGI
AllowOverride All
Order allow,deny
Allow from all
Require all granted
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
啟用了TRACE Method
同啟用了OPTIONS方法處理方法相同
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
或者在httpd.conf中添加配置:
TraceEnable off
X-Frame-Options頭未設置
在httpd.conf里面增加
Header always append X-Frame-Options SAMEORIGIN
錯誤頁面WEB應用服務器版本泄漏
修復方法:
關閉目錄瀏覽權限
描述
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
options中Indexes表示當網頁不存在的時候允許索引顯示目錄中的文件
解決
將要設置的目錄對應配置參數下的Indexes刪除或者改為-Indexes(低版本可能會報錯)
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
或者
Options -Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
缺少"x-content-type-options"頭
在httpd.conf里面增加
Header always set X-Content-Type-Options nosniff
其他
允許Flash文件與任何域HTML頁面通信
描述
解決方法
將參數AllowScriptAccess設置為never
jQuery版本警告
導致頁面空行
描述:
頁面的編碼如果是UTF-8 + BOM�����,會在body開頭處加入一個可見的控制符����,導致頁面頭部會出現一個空白。這種編碼方式一般會在windows操作系統中出現����,比如記事本編輯器��,在保存一個以UTF-8編碼的文件時,會在文件開始的地方插入三個不可見的字符(0xEF 0xBB 0xBF����,即BOM)。它是一串隱藏的字符���,用于讓記事本等編輯器識別這個文件是否以UTF-8編碼。對于一般的文件����,這樣并不會產生什么麻煩�。但對于html來說����,BOM是個大麻煩。因為瀏覽器在解析html頁面時����,并不會忽略BOM���,所以在解析html文件時�����,會把BOM作為該文件開頭正文的一部分�,這串字符也將會被直接執行(在頁面中并不顯示)出來��。由此造成即使頁面的 top或者padding 設置為0�,也無法讓整個網頁緊貼瀏覽器頂部�,因為在html一開頭有這3個隱藏字符!
解決辦法:
保存文件為utf-8
建議不要用記事本打開開發文件
文章版權歸作者所有�����,未經允許請勿轉載,若此文章存在違規行為��,您可以聯系管理員刪除����。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/35997.html
