---

前言

第三方安全检测机构甩过来一篇漏洞扫描报告，需要我们整改。

---

一、漏洞扫描问题

漏洞扫描问题如下：

• 未设置X-Content-Type-Options响应头【原理扫描】 未设置X-XSS-Protection响应头【原理扫描】
• 未设置Strict-Transport-Security响应头【原理扫描】 点击劫持:无X-Frame-Options头信息【原理扫描】
• 未设置Referrer-Policy响应头【原理扫描】 未设置X-Download-Options响应头【原理扫描】
• 未设置X-Permitted-Cross-Domain-Policies响应头【原理扫描】
• 未设置Content-Security-Policy响应头【原理扫描】

二、漏洞描述

• 防止跨站脚本攻击（XSS）：通过设置CSP(Content-Security-Policy)，可以限制浏览器只加载和执行来自特定来源的脚本，从而防止恶意脚本注入和执行。
• 防止点击劫持攻击：通过设置X-Frame-Options响应头，可以防止网页被嵌入到其他网站的iframe中，避免用户在不知情的情况下触发恶意代码。
• 提高网站安全性：通过设置STS(Strict-Transport-Security)响应头，强制浏览器使用HTTPS协议与服务器通信，从而防止信息在传输过程中被窃取或篡改。
• 防止XSS攻击：通过设置X-XSS-Protection响应头，可以启用特定的XSS过滤器，以防止XSS攻击。
• 保护用户隐私：通过设置Referrer-Policy响应头，可以控制浏览器在请求时发送的referrer信息，以保护用户的隐私。
• 限制API和功能使用：通过设置Permissions-Policy响应头，可以限制网站可以使用的API和功能，从而降低潜在的安全风险。
• 防止信息泄露：将Server和X-Powered-By响应头设置为“NONE”或删除它们，可以防止暴露服务器类型和软件版本信息，从而降低潜在的安全风险。

三、解决方法

3.1、Nginx配置概览

server {server_name xxxxx.com;listen 443 ssl;add_header Strict-Transport-Security "max-age=63072000"; add_header X-XSS-Protection "1; mode=block";add_header X-Frame-Options SAMEORIGIN;add_header X-Content-Type-Options "nosniff";add_header Referrer-Policy "origin";add_header X-Download-Options noopen;add_header Content-Security-Policy "default-src 'self' data: *.xxx.com 'unsafe-inline' 'unsafe-eval' mediastream: ";add_header X-Permitted-Cross-Domain-Policies none;…
}

3.2、注意事项

这一行需要注意，根据自己的需求进行修改。
CSP是一个强大的安全工具，但它可能会阻止你的一些资源加载，比如一些第三方脚本或样式表。因此，在你完全部署CSP策略之前，你可能需要在开发环境中进行测试，以确保没有不需要的资源被CSP阻止加载。

add_header Content-Security-Policy "default-src 'self'; connect-src *; script-src * 'self' 'unsafe-eval' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; child-src https: http:; img-src * 'self' blob: data: https:; font-src * 'self' data:;media-src *; ";

四、感谢

如果觉得有用欢迎点赞关注收藏。
有问题私信我！！~~