web程序请求头安全加固 1、开启HSTS 强制使用HTTPS协议,屏蔽不安全连接 2、内容安全策略CSP 屏蔽XSS攻击、数据注入攻击 3、X-Frame-Options 阻止点击劫持、嵌入iframe 4、X-Content-Type-Options 组织浏览器被不同MEME类似的文件打断 5、引用策略 控制引用策略,保护用户隐私 6、权限控制 添加权限控制限制浏览器访问位置、摄像头、麦克风及其他 7、请求头安全扫描-附 https://securityheaders.com/
提升SSL协议安全性 前言 目前网站的ssl安全性 很多漏扫会将TLS1.2以下的协议标注为不安全 有很大的安全隐患 漏扫 可以使用nmap命令对相应的域名的443端口进行扫描 nmap -sV --script ssl-enum-ciphers -p 443 修复 可以在web中间件中对ssl协议进行指定 以nginx为例 添加配置如下(/etc/nginx/nginx.conf) ssl_protocols TLSv1.2 TLSv1.3;
