wordpress如何解决Cookie没有HttpOnly标志-发现robots.txt文件-X-Frame-Options头未设置
今天客户提示第三方检测发现有这些问题,在网上查了,有一篇文章可以解决这个问题,直接转了:
提示:存在 非法读取用户信息 风险,安全性降低20% [严重] Flash配置不当漏洞
解决方法:
我用的是centos系统,使用find命令找到以下文件
vi编辑该文件
修改之前配置文件为
!DOCTYPE cross-domain-policy SYSTEM http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd
cross-domain-policy
site-control permitted-cross-domain-policies= all /
allow-access-from domain= * secure= false /
allow-http-request-headers-from domain= * headers= * /
/cross-domain-policy
修改之后为(注意下面配置文件中的xiaohost.com修改为你自己网站的域名):
?xml version= 1.0 ?!DOCTYPE cross-domain-policy SYSTEM http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd
cross-domain-policy
site-control permitted-cross-domain-policies= all /
allow-access-from domain= xiaohost.com secure= false /
allow-http-request-headers-from domain= * headers= * /
/cross-domain-policy
提示:存在 网站敏感信息泄露 风险,安全性降低5% [轻微] Cookie没有HttpOnly标志
解决方法:
我还是以我自己的centos服务器为例
修改php.ini配置文件
vi编辑器在非insert模式下输入/ 粘贴session.cookie_httponly 回车
找到以下内容
; http://www.php.net/manual/en/session.configuration.php#ini.session.cookie-httponly
session.cookie_httponly =
修改为
session.cookie_httponly =1提示:存在 服务器配置信息泄露 风险,安全性降低5% [轻微] 发现robots.txt文件
解决方法:
这里以Nginx服务器为例
修改你网站的conf配置文件,在以下位置
加入如下代码即可:
location = /robots.txt {
if ($http_user_agent !~* spider|bot|Python-urllib|pycurl ) {
return 403;
}
这里增加一点内容,如果你没有在根目录下创建robots.txt文件,那么即使设置了配置文件,也无效,因为wordpress建立了一个虚拟的robots.txt文件,要让解决这个问题你必须在根目录下建一个实实在在的robots.txt文件。
提示:存在 非法读取用户信息 风险,安全性降低5% [轻微] X-Frame-Options头未设置
解决方法:
什么是X-Frame-Options 响应头 请大家自行网上搜索
Apache服务器配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:
Nginx服务器配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到网站的‘http’, ‘server’ 或者 ‘location’段配置文件中:
add_header X-Frame-Options SAMEORIGIN;IIS服务器配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
system.webServer httpProtocol
customHeaders
add name= X-Frame-Options value= SAMEORIGIN /
/customHeaders
/httpProtocol
/system.webServer
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/32283.html
centos相关文章
- Ffmpeg 配置输出日志到指定文件
- Java读取txt文件和写入txt文件
- WordPress主题制作(一):主题文件结构
- WordPress 主题文件
- 伪造的 jQuery Migrate 插件生成恶意文件感染 WordPress 网站
- WordPress 主题教程 #15:子模板文件
- WordPress 技巧:只有指定的 Shortcode 存在时才载入相关脚本文件
- .ini文件 Linux下查看和打开php.ini文件(linux打开php)
- :MongoDB管理小文件的简便方法(mongodb小文件)
- Python3.x:打包为exe执行文件(window系统)详解编程语言
- robots.txt文件用法完全攻略
- 去除Linux文件中的注释(linux去掉注释)
- 文件Linux系统查看 .a 文件的方法(linux查看.a)
- Linux文件安全:锁住它们来保护它们(linux文件锁)
- Linux自动删除文件的高效解决方案(linux文件自动删除)
- Linux文件类型深入剖析(linux文件的类型)
- MySQL文件处理技巧分享(mysql文件操作)
- 数Linux下变更文件句柄数的步骤(linux修改文件句柄)
- 重获失误: Linux 文件误删救援方法(linux删除文件恢复)
- Linux传输文件工具SCP:使用选择技巧(linuxscp选择)
- SQLServer文件的正确命名方法(sqlserver文件名)
- python判断windows隐藏文件的方法