我们在一些安全检测工具中检测网站安全时,经常会出现一些响应头缺失,如下:
X-XSS-Protection响应头缺失
X-Content-Type-Options响应头缺失
Content-Security-Policy响应头缺失
Referrer-Policy响应头缺失
X-Download-Options响应头缺失
Strict-Transport-Security响应头缺失
X-Frame-Options未配置
X-Permitted-Cross-Domain-Policies响应头缺失
在IIS里设置方法如下:
IIS管理器,如果只设置一个网站就只选择对应网站,如果设置所有网站就选择根目录,再双击“HTTP响应头”;右侧的“操作”窗格中,选择“添加”;输入名称和值,再单击“确定”保存更改。
X-XSS-Protection设置
X-XSS-Protection : 1; mode=block
X-Content-Type-Options设置
X-Content-Type-Options:nosniff
Content-Security-Policy设置
Content-Security-Policy:*(加载所有内容)
Referrer-Policy设置
Referrer-Policy:"no-referrer-when-downgrade" always
X-Download-Options设置
X-Download-Options:noopen
Strict-Transport-Security设置
Strict-Transport-Security:"max-age=63072000; includeSubdomains; preload"
X-Frame-Options配置
X-Frame-Options:SAMEORIGIN
(DENY 禁止所有,SAMEORIGIN只能本地,ALLOW-FROM uri指定网址)
X-Permitted-Cross-Domain-Policies设置
X-Permitted-Cross-Domain-Policies:none