1

我需要 PHP 大师的帮助。

我的 Web 应用程序漏洞有问题。它是用 PHP / MySQL 制作的,我仍然需要纠正四个错误:

  1. 未设置 X-Frame-Options 标头
  2. Cookie 不包含“安全”属性
  3. Cookie 不包含“HTTPOnly”属性
  4. 我需要使用 htaccess 强制从 HTTP 到 HTTPS

请帮我。我已经研究和测试了几种替代方案,但没有一个对我有用。

我在远程服务器中有:

  1. Linux / Apache API 版本 - 20051115
  2. X-Frame-Options - DENY,DENY(这很少见,因为在 phpinfo 中我也得到“X-Frame-Options - SAMEORIGIN”,更多信息见下文)

提前致谢。问候。

4

2 回答 2

1

1.)

<meta http-equiv="X-Frame-Options" content="deny">

2,3.)

http://geekflare.com/httponly-secure-cookie-apache/

4.)

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
于 2014-05-29T22:09:44.863 回答
0

只有包含用户可以输入敏感/机密信息的输入表单的页面才容易受到跨框架脚本的攻击。为了支持旧版浏览器,我建议在每个易受攻击的页面(或母版页,如果可能)上使用以下 JavaScript 解决方案:

if ( self == top ) {
  document.documentElement.style.display = 'block' ;
  document.documentElement.style.visibility = 'visible' ;
} else {
  top.location = self.location ;
}
html{
  display : none ;
  visibility : hidden ;
}

于 2017-09-15T22:16:26.633 回答