一、网安检测,需要我们整改
1)iframe 点击劫持,只允许同源的域名使用iframe。
2) 高版本的浏览器通过csp的方式来加非同源的白名单。
3)通过设置"X-Content-Type-Options: nosniff"响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。设置X-Content-Type-Options,可能导致IE9、IE11拒绝加载没有返回Content-Type的相关资源。
4)启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
add_header x-frame-options SAMEORIGIN; add_header Content-Security-Policy "frame-ancestors http://*.aaa.com https://*.vvv.com; add_header X-Content-Type-Options "nosniff"; add_header X-XSS-Protection "1; mode=block";
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
