HTTP X-Content-Type-Options 丢失
HTTP 请求的Web 服务器响应标头中缺少X-Content-Type-Options。这意味着您的网站更容易受到跨站脚本攻击(XSS)。 X-Content-Type-Options 响应标头对应于提示标志。服务器使用它来要求客户端尊重Content-Type 标头中的MIME 类型设置并且不要更改它。端到端MIME 类型嗅探行为。浏览器通常根据响应标头的Content-Type 字段来识别资源类型。如果某些资源的Content-Type 错误或未定义,浏览器将启用MIME 嗅探来推断资源的类型并确定其正在执行的操作。此功能允许攻击者导致应解析为图像的请求被解析为JavaScript 代码。
缺少HTTP X-Xss 保护
Web 服务器的HTTP 请求响应标头没有X-XSS-Protection 标头。这意味着您的网站更容易受到跨站脚本攻击(XSS)。 X-XSS-Protection 响应标头适用于Internet Explorer、Chrome 和Safari。
# 以上关于响应头中默认的xss防御头(X相关内容来源网络仅供参考,相关信息请以官方公告为准!)
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92708.html
