wordpress如何解决Cookie没有HttpOnly标志-发现robots.txt文件-X-Frame-Options头未设置

wordpress如何解决Cookie没有HttpOnly标志-发现robots.txt文件-X-Frame-Options头未设置

今天客户提示第三方检测发现有这些问题,在网上查了,有一篇文章可以解决这个问题,直接转了:

提示:存在”非法读取用户信息”风险,安全性降低20% [严重] Flash配置不当漏洞
解决方法:
我用的是centos系统,使用find命令找到以下文件

find / -name crossdomain.xml

vi编辑该文件
修改之前配置文件为

<?xml version=”1.0″?>
<!DOCTYPE cross-domain-policy SYSTEM “http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”all”/>
<allow-access-from domain=”*” secure=”false”/>
<allow-http-request-headers-from domain=”*” headers=”*”/>
</cross-domain-policy>

修改之后为(注意下面配置文件中的xiaohost.com修改为你自己网站的域名):

<?xml version=”1.0″?>
<!DOCTYPE cross-domain-policy SYSTEM “http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”all”/>
<allow-access-from domain=”xiaohost.com” secure=”false”/>
<allow-http-request-headers-from domain=”*” headers=”*”/>
</cross-domain-policy>

提示:存在”网站敏感信息泄露”风险,安全性降低5% [轻微] Cookie没有HttpOnly标志
解决方法:
我还是以我自己的centos服务器为例
修改php.ini配置文件
vi编辑器在非insert模式下输入/ 粘贴session.cookie_httponly 回车
找到以下内容

; Whether or not to add the httpOnly flag to the cookie, which makes it inaccessible to browser scripting languages such as JavaScript.
; http://www.php.net/manual/en/session.configuration.php#ini.session.cookie-httponly
session.cookie_httponly =

修改为

session.cookie_httponly =1

提示:存在”服务器配置信息泄露”风险,安全性降低5% [轻微] 发现robots.txt文件
解决方法:
这里以Nginx服务器为例

cd /usr/local/nginx/conf/vhost

修改你网站的conf配置文件,在以下位置
加入如下代码即可:

#如果请求的是robots.txt,并且匹配到了蜘蛛,则返回403
location = /robots.txt {
if ($http_user_agent !~* “spider|bot|Python-urllib|pycurl”) {
return 403;
}
}

这里增加一点内容,如果你没有在根目录下创建robots.txt文件,那么即使设置了配置文件,也无效,因为wordpress建立了一个虚拟的robots.txt文件,要让解决这个问题你必须在根目录下建一个实实在在的robots.txt文件。

提示:存在”非法读取用户信息”风险,安全性降低5% [轻微] X-Frame-Options头未设置
解决方法:
什么是X-Frame-Options 响应头 请大家自行网上搜索
Apache服务器配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

Header always append X-Frame-Options SAMEORIGIN

Nginx服务器配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到网站的‘http’, ‘server’ 或者 ‘location’段配置文件中:

add_header X-Frame-Options SAMEORIGIN;

IIS服务器配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>

<httpProtocol>
<customHeaders>
<add name=”X-Frame-Options” value=”SAMEORIGIN” />
</customHeaders>
</httpProtocol>


</system.webServer>

完成以上操作后,重启服务器软件即可
好了 360网站安全重新检测一下,又是100分,完美!
360网站安全检测问题,Cookie没有HttpOnly标志,Flash配置不当漏洞,X-Frame-Options头未设置,发现robots.txt文件,wordpress如何解决360网站安全检测提示Flash配置不当漏洞-Cookie没有HttpOnly标志-发现robots.txt文件-X-Frame-Options头未设置

 


原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/32283.html

(0)
上一篇 2021年7月25日
下一篇 2021年7月25日

相关推荐

发表回复

登录后才能评论