网络漏洞答案

【问题标题】：Web vulnerabilities网络漏洞
【发布时间】：2026-01-25 18:35:01
【问题描述】：

我需要 PHP 大师的帮助。

我的 Web 应用程序漏洞存在问题。它是用 PHP / MySQL 制作的，我仍然需要更正四个错误：

X-Frame-Options 标头未设置
Cookie 不包含“安全”属性
Cookie 不包含“HTTPOnly”属性
我需要使用 htaccess 强制从 HTTP 到 HTTPS

请帮助我。我已经研究和测试了几种替代方案，但没有一个对我有用。

我在远程服务器中：

Linux / Apache API 版本 - 20051115
X-Frame-Options - DENY、DENY（这种情况很少见，因为在 phpinfo 中我也会得到“X-Frame-Options - SAMEORIGIN”，更多信息见下文）

提前致谢。问候。

【问题讨论】：

标签： .htaccess cookies x-frame-options

【解决方案1】：

1.)

<meta http-equiv="X-Frame-Options" content="deny">

2,3.)

http://geekflare.com/httponly-secure-cookie-apache/

4.)

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

【讨论】：

非常感谢尼古拉斯先生。我马上试试。
哦，尼古拉斯先生！第四种解决方案适用于我自己的本地服务器，但不适用于远程服务器。在那里，网站管理员已经配置了 php.ini 和 SSL。我真的不知道为什么在我的笔记本电脑上一切正常。您还有其他可以提供帮助的想法吗？对于很多问题，我很抱歉，但我真的必须解决这个问题。顺便说一句，我是网络漏洞的新手。再次感谢，即使您没有时间提供帮助。问候。
你可以试试那个，这取决于你的服务器配置。您的 .htaccess 在网络服务器的根目录中吗？
再次感谢尼古拉斯。好吧，我的 .htaccess 在我的本地，当然，我可以按照您的要求将其上传到服务器，到根目录。所以，我不知道我还能做什么。
我会看到你的建议（你给我的链接）。待会见，我会告诉你这是怎么回事。祝你有个愉快的夜晚。

【解决方案2】：

只有包含用户可以输入敏感/机密信息的输入表单的页面才容易受到跨框架脚本的攻击。为了支持旧版浏览器，我建议在每个易受攻击的页面（或母版页，如果可能）上使用以下 JavaScript 解决方案：

if ( self == top ) {
  document.documentElement.style.display = 'block' ;
  document.documentElement.style.visibility = 'visible' ;
} else {
  top.location = self.location ;
}

html{
  display : none ;
  visibility : hidden ;
}

【讨论】：