无法解决 XSS 跨站脚本漏洞

【问题标题】:Not able to resolve the XSS cross site scripting vulnerabilitiues无法解决 XSS 跨站脚本漏洞
【发布时间】:2019-02-05 09:30:36
【问题描述】:

我在我的 apache/conf/httpd.conf 文件中添加了以下行来解决 XSS 跨站脚本漏洞。

1) 

<IfModule mod_headers.c>

    #                           (1)    (2)
    Header set X-XSS-Protection "1; mode=block"

    # `mod_headers` cannot match based on the content-type, however,
    # the `X-XSS-Protection` response header should be sent only for
    # HTML documents and not for the other resources.

    <FilesMatch "\.(%FilesMatchPattern%)$">
        Header unset X-XSS-Protection
    </FilesMatch>

</IfModule>

2 ) header always set x-xss-protection "1; mode=block"


3) <IfModule mod_headers.c>
  Header set X-XSS-Protection "1; mode=block"
</IfModule>

使用以下命令重新启动 apache 服务器

httpd -k 重启

但是他们都没有成功,IBM BAVA 安全扫描仍然显示(跨站点脚本)是积极的,并且 Web 服务器漏洞仍然存在。

【问题讨论】:

    标签: apache


    【解决方案1】:

    添加 X-XSS-protection 标头是一项通知您使用客户端浏览器的功能。此外,除非您的浏览器支持,否则它根本不起作用。 这无助于解决服务器端的 XSS 漏洞。

    请参考this

    【讨论】:

    • 我们有什么方法可以从服务器端阻止这个漏洞?
    • 很抱歉,但我不知道如何仅使用 apache 设置来阻止 XSS 攻击。 Web防火墙、源代码、库、过滤器或其他方式尽可能地阻止它。
    猜你喜欢
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式