摘要:由此造成即使頁(yè)面的或者設(shè)置為,也無(wú)法讓整個(gè)網(wǎng)頁(yè)緊貼瀏覽器頂部��,因?yàn)樵谝婚_(kāi)頭有這個(gè)隱藏字符解決辦法保存文件為建議不要用記事本打開(kāi)開(kāi)發(fā)文件
說(shuō)明
初衷:
本文檔用于記錄所遇到的網(wǎng)站安全問(wèn)題���,并分類(lèi)匯總���,方便后期遇到類(lèi)似問(wèn)題��,能夠快速找到解決方案�����,提高效率�,讓程序員有更多的時(shí)間去把妹�����,LOL...
記錄規(guī)范:
標(biāo)題必須清晰明了�,方便用戶(hù)快速查找,拒絕標(biāo)題黨�����;
問(wèn)題放到正確的分類(lèi)中��;
記錄問(wèn)題的時(shí)候先闡述問(wèn)題����,再列出解決方法�,盡量做到有圖有真相����;
如果有對(duì)應(yīng)的資料,可以附上鏈接���;
記錄問(wèn)題提交人�,方便追蹤
Apache
Cookie缺少HttpOnly��、Secure標(biāo)識(shí)
漏洞提示
描述
httponly是微軟對(duì)cookie做的擴(kuò)展�����,這個(gè)主要是解決用戶(hù)的cookie可能被盜用的問(wèn)題��。
大家都知道���,當(dāng)我們?nèi)ム]箱或者論壇登陸后,服務(wù)器會(huì)寫(xiě)一些cookie到我們的瀏覽器����,當(dāng)下次再訪(fǎng)問(wèn)其他頁(yè)面時(shí),由于瀏覽器回自動(dòng)傳遞cookie,這樣就實(shí)現(xiàn)了一次登陸就可以看到所有需要登陸后才能看到的內(nèi)容��。也就是說(shuō)��,實(shí)質(zhì)上�,所有的登陸狀態(tài)這些都是建立在cookie上的!假設(shè)我們登陸后的cookie被人獲得�,那就會(huì)有暴露個(gè)人信息的危險(xiǎn)!當(dāng)然���,想想����,其他人怎么可以獲得客戶(hù)的cookie��?那必然是有不懷好意的人的程序在瀏覽器里運(yùn)行���!如果是現(xiàn)在滿(mǎn)天飛的流氓軟件���,那沒(méi)有辦法,httponly也不是用來(lái)解決這種情況的���,它是用來(lái)解決瀏覽器里javascript訪(fǎng)問(wèn)cookie的問(wèn)題���。試想���,一個(gè)flash程序在你的瀏覽器里運(yùn)行,就可以獲得你的cookie的�!
修復(fù)方案
一、修改php配置文件php.ini
session.cookie_secure = 1
session.cookie_httponly = 1
暴力解決辦法:注釋掉對(duì)應(yīng)信息
apache icons目錄問(wèn)題
我們?nèi)绻褂昧薬pache服務(wù)器�����,當(dāng)我訪(fǎng)問(wèn)http://xxx.xxx.xxx/icons/時(shí)會(huì)自動(dòng)顯示這個(gè)目錄下的所以文件列表�����,這行造成網(wǎng)站目錄信息的泄露對(duì)我們的網(wǎng)站安全造成威脅����,在 關(guān)閉apache自動(dòng)目錄列表功能的三種方法 這篇文章中的三種方法都不能禁止自動(dòng)目錄列表��,你如果使用網(wǎng)站安全監(jiān)測(cè)�����,會(huì)提醒你發(fā)現(xiàn)目錄啟用了自動(dòng)目錄列表功能����,所以我們必須禁止它�,經(jīng)過(guò)測(cè)試��,按如下步驟可以禁止:
打開(kāi)目錄apache/conf/extra/下的文件httpd-autoindex.conf(位置可能有差異)
找到
Alias /icons/ "/xampp/apache/icons/"
Options Indexes MultiViews
AllowOverride None
Require all granted
去掉Indexes改成
Options MultiViews
AllowOverride None
Require all granted
重啟apache服務(wù)器�!
暴力解決辦法就是注釋掉或者直接刪除icons目錄
啟用了OPTIONS方法
在網(wǎng)站根目錄目錄下創(chuàng)建.htaccess文件,內(nèi)容如下�����,如果您已有其他規(guī)則����,請(qǐng)?zhí)砑拥降谝粭l規(guī)則
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]
使用Apache的重寫(xiě)規(guī)則來(lái)禁用Options方法和Trace方法
在A(yíng)pache配置文件httpd-conf中【vhosts-conf】添加以下代碼:
多帶帶禁用Trace方法:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
多帶帶禁用Options方法:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]
同時(shí)禁用Trace方法和Options方法
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
DocumentRoot "D:wwwroot"
ServerName www.abc.com
ServerAlias abc.com
Options FollowSymLinks ExecCGI
AllowOverride All
Order allow,deny
Allow from all
Require all granted
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
啟用了TRACE Method
同啟用了OPTIONS方法處理方法相同
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
或者在httpd.conf中添加配置:
TraceEnable off
X-Frame-Options頭未設(shè)置
在httpd.conf里面增加
Header always append X-Frame-Options SAMEORIGIN
錯(cuò)誤頁(yè)面WEB應(yīng)用服務(wù)器版本泄漏
修復(fù)方法:
關(guān)閉目錄瀏覽權(quán)限
描述
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
options中Indexes表示當(dāng)網(wǎng)頁(yè)不存在的時(shí)候允許索引顯示目錄中的文件
解決
將要設(shè)置的目錄對(duì)應(yīng)配置參數(shù)下的Indexes刪除或者改為-Indexes(低版本可能會(huì)報(bào)錯(cuò))
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
或者
Options -Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
缺少"x-content-type-options"頭
在httpd.conf里面增加
Header always set X-Content-Type-Options nosniff
其他
允許Flash文件與任何域HTML頁(yè)面通信
描述
解決方法
將參數(shù)AllowScriptAccess設(shè)置為never
jQuery版本警告
導(dǎo)致頁(yè)面空行
描述:
頁(yè)面的編碼如果是UTF-8 + BOM,會(huì)在body開(kāi)頭處加入一個(gè)可見(jiàn)的控制符�����,導(dǎo)致頁(yè)面頭部會(huì)出現(xiàn)一個(gè)空白����。這種編碼方式一般會(huì)在windows操作系統(tǒng)中出現(xiàn),比如記事本編輯器�,在保存一個(gè)以UTF-8編碼的文件時(shí),會(huì)在文件開(kāi)始的地方插入三個(gè)不可見(jiàn)的字符(0xEF 0xBB 0xBF����,即BOM)���。它是一串隱藏的字符,用于讓記事本等編輯器識(shí)別這個(gè)文件是否以UTF-8編碼����。對(duì)于一般的文件,這樣并不會(huì)產(chǎn)生什么麻煩�。但對(duì)于html來(lái)說(shuō),BOM是個(gè)大麻煩��。因?yàn)闉g覽器在解析html頁(yè)面時(shí)�����,并不會(huì)忽略BOM��,所以在解析html文件時(shí)��,會(huì)把BOM作為該文件開(kāi)頭正文的一部分�����,這串字符也將會(huì)被直接執(zhí)行(在頁(yè)面中并不顯示)出來(lái)���。由此造成即使頁(yè)面的 top或者padding 設(shè)置為0����,也無(wú)法讓整個(gè)網(wǎng)頁(yè)緊貼瀏覽器頂部����,因?yàn)樵趆tml一開(kāi)頭有這3個(gè)隱藏字符!
解決辦法:
保存文件為utf-8
建議不要用記事本打開(kāi)開(kāi)發(fā)文件
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11445.html
