网站漏洞检测
PHPstudy环境用的Apache
漏洞名称:Content-Security-Policy头配置错误
已经在Apache的配置文件中添加了以下语句:
Header set Content-Secure-Policy "default-src 'self';script-src 'self' 'unsafe-inline';style-src 'self' 'unsafe-inline';"
index.html界面的 head 中也添加了
<meta http-equiv="Content-Security-Policy" content=" default-src 'self';script-src 'self' 'unsafe-inline';style-src 'self' 'unsafe-inline';">
在HTML中添加后,确定页面中起作用,我的页面有内联的style和script,如果都写self,则不显示。
其他的头配置语句都起作用了,但就是这个不行
以下配置都是网上找的,都起作用了
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin"
Header always set Permissions-Policy "geolocation=(),midi=(),sync-xhr=(),microphone=(),camera=(),magnetometer=(),gyroscope=(),fullscreen=(self),payment=()"