我正在開發用于消除安全漏洞的 asp.net 應用程式。我要討論的漏洞是“ X-XSS 保護”和“點擊劫持”。我進行了搜索并點擊了這個鏈接。我剛剛使用了“在 Web.Config 中使用<customHeaders>”標題下的解決方案
在此之后,當我運行應用程式時,我收到 500 internal server error: HTTP Error 500.19 - Internal Server Error。在標簽detailed error information下Config Error它說Unrecognized element 'add'。
在此之后,我洗掉了結束標簽</add>并留下了<add name="X-Frame-Options" value="DENY"/>,現在應用程式可以正常運行。
在以下幾點上,我需要一些幫助:
- 為什么上面鏈接中給出的語法不起作用?
- 誰能解釋以下幾行的重要性:
<add name="X-Frame-Options" value="DENY"/> <add name="X-XSS-Protection" value="1; mode=block"/> <add name="X-Content-Type-Options" value="nosniff "/>
我知道這些是額外的安全標頭。謝謝
uj5u.com熱心網友回復:
鏈接文章中的格式有幾處問題,我在此處復制了這些內容...
<httpprotocol>
<customheaders>
<remove name="X-Powered-By">
<add name="X-Frame-Options" value="DENY">
<add name="X-XSS-Protection" value="1; mode=block">
<add name="X-Content-Type-Options" value="nosniff ">
</add></add></add></remove></customheaders>
</httpprotocol>
<httpprotocol>并且</httpprotocol>必須是<httpProtocol>和</httpProtocol><customheaders>并且</customheaders>必須是<customHeaders>和</customHeaders><add>并且<remove>必須是<customHeaders>...的直接子級,它們不能嵌套。- 雖然我不能說 100%,但我相信空間
"nosiff "可能是一個問題(盡管它可能會被正確處理,但我建議將其洗掉以防瀏覽器忽略它)
使用<add></add>or<add/>元素沒有區別,只要它們都是元素的直接子<customHeaders>元素
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="DENY" />
<add name="X-XSS-Protection" value="1; mode=block" />
<add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>
</httpProtocol>
有關實際選項,請參閱...
- X 框架選項
- X-XSS-保護
- X-Content-Type-Options
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/423028.html
標籤:
上一篇:下拉串列選擇值不變
下一篇:從深層json子過濾資料