iis环境安全测试报响应头缺失或不安全漏洞解决办法

网站上线安全测试出现了.js文件报 “Content-Security-Policy”等错误，下面web建站小编给大家了解一下响应头缺失或不安全都有哪些报错！

一般情况下下面安全测试会出现以下几个问题

1、检测到目标“Content-Security-Policy”头缺失或不安全

2、检测到目标“X-Content-Type-Options”头缺失或不安全

3、检测到目标“X-XSS-Protection”头缺失或不安全

下面新建一个web.config文件，根据自己网站安全的需要选择以下代码：

复制代码<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <!--检测到目标X-Content-Type-Options响应头缺失-->
        <add name="X-Content-Type-Options" value="nosniff" />
        <!--检测到目标X-XSS-Protection响应头缺失-->
        <add name="X-XSS-Protection" value="1" />
        <!--检测到目标Content-Security-Policy响应头缺失-->
        <!-- <add name="Content-Security-Policy" value="default-src 'self'" /> -->
        <!--检测到目标Strict-Transport-Security响应头缺失-->
        <add name="Strict-Transport-Security" value="max-age=31536000" />
        <!--检测到目标Referrer-Policy响应头缺失-->
        <add name="Referrer-Policy" value="origin-when-cross-origin" />
        <!--检测到目标X-Permitted-Cross-Domain-Policies响应头缺失-->
        <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
        <!--检测到目标X-Download-Options响应头缺失-->
        <add name="X-Download-Options" value="noopen" />
        <!--点击劫持：X-Frame-Options未配置-->
        <add name="X-Frame-Options" value="deny" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25