最近机房让整改的漏洞 设置cookie httponly X-Frame-Options头未设置

https://www.jb51.net/article/105018.htm

PHP中的设置

PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中
----------------------------------------------------- 
session.cookie_httponly = 1
-----------------------------------------------------

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:

?


1

2

3

<?php ini_set("session.cookie_httponly", 1);

 // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

?>

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:

?


1

2

3

4

<?php

setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

?>

对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:

?


1

2

3

<?php

header("Set-Cookie: hidden=value; httpOnly");

?>

http://www.sdlcseo.com/629.html

大家在使用虚拟机搭建WordPress博客的时候,相信都会使用360网站安全检测来检查网站安全性,使用WordPress博客程序搭建的博客多少都会报点漏洞,今天WIFI部落网出现了 X-Frame-Options头未设置 的提示,虽然是轻微漏洞,但看着不舒服,所以把这个问题处理了。
X-Frame-Options头未设置 修复方法:
一、Apache 配置
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行代码添加到配置中:       apache配置httpd.conf         先开启mod_header.so 扩展

  1. Header always append X-Frame-Options SAMEORIGIN

二、nginx 配置
配置 nginx 发送 X-Frame-Options 响应头,把下面这行代码添加到 ‘http‘, ‘server‘ 或者 ‘location‘ 的配置中:

1.add_header X-Frame-Options SAMEORIGIN

三、IIS 配置(虚拟机专用)
配置 IIS 发送 X-Frame-Options 响应头,添加下面代码配置到 Web.config 文件中(如下图):

  1. <httpProtocol>
  2. <customHeaders>
  3. <add name="X-Frame-Options" value="SAMEORIGIN" />
  4. </customHeaders>
  5. </httpProtocol>

原文地址:https://www.cnblogs.com/jackduan/p/9399473.html

时间: 2024-10-11 05:00:40

最近机房让整改的漏洞 设置cookie httponly X-Frame-Options头未设置的相关文章

Java Servlet 2.5 设置 cookie httponly

Servlet 3.0 有 cookie.setHttpOnly(true); 多么人性化, Servlet 2.5 是没有这个方法的要这个曲线救国:cookie.setPath("; HttpOnly;"); thanks to :http://stackoverflow.com/questions/13147113/setting-an-httponly-cookie-with-javax-servlet-2-5

IE 第三方设置cookie失效

公司的产品,采用多服务分摊压力,中间必须涉及的当然是单点登陆.一般的单点登陆都是通过去用户中心登陆,302或页面回调的方式,返回到登陆前的页面. 公司项目,想用户体验更好些,采用弹框登陆,可以考虑iframe或者form提交方式.iframe需要解决跨域通信的问题,当然也是有解决方案的.form提交的话,就存在用户名密码错误提示,还是需要在用户中心处理. 最后选择了jsonp的方案跨域提交,这也有一些问题,安全方面用户名密码get方式传递,可以考虑加入签名,防止原始密码泄漏. 在使用jsonp方

Cookie中设置了&quot;HttpOnly&quot;属性,有效的防止XSS攻击

1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie. XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段H

JS设置cookie,删除cookie(引)

JS设置cookie,删除cookie(引) js设置cookie有很多种方法. 第一种:(这个是w3c官网的代码) <script> //设置cookie function setCookie(cname, cvalue, exdays) { var d = new Date(); d.setTime(d.getTime() + (exdays*24*60*60*1000)); var expires = "expires="+d.toUTCString(); docum

运用JS设置cookie、读取cookie、删除cookie

运用JS设置cookie.读取cookie.删除cookie JavaScript是运行在客户端的脚本,因此一般是不能够设置Session的,因为Session是运行在服务器端的. 而cookie是运行在客户端的,所以可以用JS来设置cookie. 假 设有这样一种情况,在某个用例流程中,由A页面跳至B页面,若在A页面中采用JS用变量temp保存了某一变量的值,在B页面的时候,同样需要使用JS来 引用temp的变量值,对于JS中的全局变量或者静态变量的生命周期是有限的,当发生页面跳转或者页面关闭

关于启明星系统移除apppath配置,让系统自动获取路径来设置cookie的解决方法

启明星系统底层使用统一接口,特别是用户,用户登录后,都会建立一个 userinfo 的cookie.请看下面2个网址: http://120.24.86.232/book http://120.24.86.232/helpdesk 通常,如果不显式的设置cookie,cookie默认将把userinfo cookie存放在 / 主目录下. 这样,book系统和helpdesk系统可以共享这个系统.换句话说,用户登录了一个系统,另外一个也将自动系统. 不过,在我演示站点里,为了区分不同的系统,我并

C#读取设置Cookie

设置: HttpCookie cookie = new HttpCookie("cookieName"); cookie.Value = "name1" HttpContext.Current.Response.Cookies.Add(cookie); 读取: HttpContext.Current.Request.Cookies["cookieName"].Value 判断cookie是否存在: if(HttpContext.Current.R

设置cookie、获取cookie、删除cookie函数封装

//设置cookie函数function setCookie(key,value,t){   var oDate = new Date();   oDate.setDate( oDate.getDate() + t );   document.cookie = key + '=' + encodeURI(value) + ';expires=' + oDate.toGMTString();} //获取cookie函数function getCookie(key){ //通过分号空格拆分开所有co

JS通过设置cookie来控制弹出层,首次打开页面显示弹出层

<!DOCTYPE html> <html> <head> <meta charset=" utf-8"> <meta name="author" content="http://www.jb51.net/" /> <title>JS通过设置cookie来控制弹出层,首次打开页面显示弹出层,刷新页面不再显示:关闭浏览器重新打开.清除缓存cookie显示.</title&