本帖最后由 user 于 2024-3-21 11:54 编辑
未设置X-Content-Type-Options响应头解决方法: 在nginx.conf配置文件中添加如下配置:
# 相关安全漏洞响应头
# 检测到目标 X-Content-Type-Options响应头缺失 这个暂时不开启,不然部分banner无法使用
#add_header X-Content-Type-Options "nosniff";
# 检测到目标 Content-Security-Policy响应头缺失 这个暂时不开启,不然会导致Cesium无法使用
#add_header Content-Security-Policy "default-src 'self' http: https://* data: blob: 'unsafe-eval' 'unsafe-inline';child-src 'none' " always;
# 检测到目标 X-XSS-Protection响应头缺失
add_header X-XSS-Protection "1; mode=block";
# 检测到目标 Referrer-Policy响应头缺失
add_header Referrer-Policy "no-referrer-when-downgrade" always;
# 检测到目标 X-Permitted-Cross-Domain-Policies响应头缺失
add_header X-Permitted-Cross-Domain-Policies none;
# 检测到目标 X-Download-Options响应头缺失
add_header X-Download-Options noopen;
# 检测到目标 Strict-Transport-Security响应头缺失
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
#点击劫持:X-Frame-Options未配置
add_header X-Frame-Options SAMEORIGIN;
#检测到目标 X-Content-Type-Options响应头缺失 开启后部分banner无法使用 不影像我们系统使用 可开启
add_header X-Content-Type-Options "nosniff";
配置后重新nginx即可。 如果配置后出现如下问题Cesium无法使用,nginx不配置Content-Security-Policy即可,不影响漏扫,上面配置是已注释掉Content-Security-Policy的,可直接复制使用。
|