讨论区 » AAS-V9企业版 » AAS-V9企业版安全测评专区 »
关于Host 头注入漏洞、HTTP 响应头X-Content-Type-Options缺失漏洞、HTTP 响应头X-XSS-Protection缺失漏洞的问题
由 徐 田汉 在 大约 3 年 之前添加
用户提示漏洞:
3.1.4 Host 头注入漏洞
3.1.5 HTTP 响应头 X-Content-Type-Options 缺失漏洞
3.1.6 HTTP 响应头 X-XSS-Protection 缺失漏洞
解决方案(供参考,用户未反馈解决结果):编辑下domain/mydomain/vm.option文件,添加如下配置:
apusic.http.header.X-Frame-Options.Enable=true
com.apusic.cookie.noSecurity=false
apusic.http.header.customSize=7
apusic.http.header.name.1=X-Content-Type-Options
apusic.http.header.value.1=nosniff
apusic.http.header.name.2=X-XSS-Protection
apusic.http.header.value.2=1;mode=block
apusic.http.header.name.3=Content-Security-Policy
apusic.http.header.value.3=default-src 'self'; script-src 'self'
apusic.http.header.name.4=Cache-Control
apusic.http.header.value.4=no-cache
apusic.http.header.name.5=Cache-Control
apusic.http.header.value.5=no-store
apusic.http.header.name.6=Pragma
apusic.http.header.value.6=no-cache
apusic.http.header.name.7=Strict-Transport-Security
apusic.http.header.value.7=max-age=31