检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
2023-08-21 20:44:09WEB网站安全 548人已围观
详细描述
Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。 当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。很有可能有些开发者并没有修改 crossdomain.xml 文件的权限,但是又有和跨域的 Flash 共享数据的需求,这时候可以通过设置 X-Permitted-Cross-Domain-Policies 头的方式来替代 crossdomain.xml 文件,其可选的值有: none master-only by-content-type by-ftp-filename all 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
解决办法
1)修改服务端程序,给 HTTP 响应头加上
X-Permitted-Cross-Domain-Policies 如果是 java 服务端,可以使用如下方式添加 HTTP 响应头
response.setHeader("X-Permitted-Cross-Domain-Policies",
"value") 如果是 php 服务端,可以使用如下方式添加 HTTP 响应头
header("X-Permitted-Cross-Domain-Policies: value") 如果是 asp 服务端,可以使用如下方式添加
HTTP 响应头 Response.AddHeader "X-Permitted-Cross-Domain-Policies",
"value" 如果是 python django 服务端,可以使用如下方式添加 HTTP 响应头 response =
HttpResponse() response["X-Permitted-Cross-Domain-Policies"] =
"value" 如果是 python flask 服务端,可以使用如下方式添加 HTTP 响应头 response = make_response()
response.headers["X-Permitted-Cross-Domain-Policies"] =
"value";
2)修改负载均衡或反向代理服务器,给 HTTP 响应头加上 X-Permitted-Cross-Domain-Policies 如果使用 Nginx、Tengine、Openresty
等作为代理服务器,在配置文件中写入如下内容即可添加 HTTP 响应头: add_header
X-Permitted-Cross-Domain-Policies value; 如果使用 Apache 作为代理服务器,在配置文件中写入如下内容即可添加
HTTP 响应头: Header add X-Permitted-Cross-Domain-Policies "value"。
扫码添加技术微信【解决问题,仅需10元起】
专注中小企业网站建设、网站安全15年。
熟悉各种CMS,精通PHP+MYSQL、HTML5、CSS3、Javascript等。
承接:企业仿站、网站修改、网站改版、BUG修复、问题处理、二次开发、PSD转HTML、网站被黑、网站漏洞修复等。
专业解决各种疑难杂症,您有任何网站问题都可联系我们技术人员微信。
➥ 可淘宝担保交易,安全无风险
本栏推荐
- PbootCms二开内容详情页为每个产品或者是文章单独定制一个模板
- phpcms常见安全漏洞修复方法
- php网站通用jssdk微信分享给好友带简介和缩略图
- 最新版分享代码:织梦dedecms文章详情页分享到微信显示缩略图和简介的方法
- 给pbootcms网站增加广告敏感词过滤替换功能的方法教程
- pbootcms后台自定义字段多图功能不能拖拽调换图片顺序的修改方法
- pbootcms文章内容轮播多图的图片注解改为多行
- pbootcmsV3.2.5版本百度推广链接打不开显示404错误页面
- eyoucms网站首页收录了很多灰产链接的临时解决办法
- eyoucms自定义多行文本字段前台调取不能自动转义的问题解决办法
- php网站自动生成带文章标题水印的随机缩略图
- BT宝塔面板一个站点绑定多个SSL证书
扫码添加技术微信
【解决问题,仅需10元起】
➥ 可淘宝担保交易,安全无风险