問:
網站安全檢查發現這兩個問題,請問有什么辦法解決嗎
另外用谷歌瀏覽器訪問網站的時候,總提示不安全,然后顯示正在用的cookie
,關于網站cookie的安全標志和httponly標志的問題
答:您好,
1、已經在站點根目錄下的web.config文件中追加添加了規則
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>
并在站點根目錄下新建了.user.ini文件添加了以下規則,重啟了程序池;
session.cookie_httponly = On
session.cookie_secure = On
您可以重新掃描檢測下;
2、訪問站點提示不安全是由于該主機雖然開啟了ssl部署但綁定域名沒有申請ssl證書或者上傳托管ssl,如果尚未申請綁定域名的ssl證書,可以在我司申請該域名的ssl證書后開啟強制https后使用https地址訪問;非常感謝您長期對我司的支持!
問:親啊,我現在打開瀏覽器還是提示不安全,現在問題是,頁面布局都變了;
答:您好,顯示變化是由于程序缺失部分文件且添加的安全規則影響。現已為您從備份中恢復缺失文件并調整規則。
另外您域名沒有申請ssl證書,沒有ssl證書的瀏覽器默認是認為不安全的,請您對域名申請ssl證書(http://www.shinetop.cn/faq/list.asp?unid=1853),非常感謝您長期對我司的支持!
問:
不好意思,我又掃了一下,上面提的幾個地方還是有問題。
<add name="X-FRAME-OPTIONS" value="SAMEORIGIN" />
<add verb="OPTIONS" allowed="false"/>
<add verb="TRACE" allowed="false"/>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
后加的這些都沒起做用
答:您好,檢測是生效的,屬于掃描工具檢測問題。
另外查看您有刪除程序文件,刪除會導致頁面對應樣式丟失且頁面輪播無法顯示,請核實上傳或從備份恢復。
,非常感謝您長期對我司的支持!
問:'未實施內容安全策略CSP'–這個我已經在web.config里加入<add name="Content-" value="default-src 'self'" />
為什么還提示呢?
問:還有,我已經把刪除的腳本文件都恢復進來了,然后在web.config加入<add name="Content-" value="default-src 'self'" /> 頁面依舊還是變形,輪播無法展示
答:您好,
就是這個設置引起的輪播圖顯示異常,查看您單獨在meta頭添加了相應設置
您試試取消web.config再檢測試試,非常感謝您長期對我司的支持!
問:我把web.config里的<add name="Content-" value="default-src 'self'" />這句刪了就可以正常了;但為什么掃描漏洞的時候,總是有未實施內容安全策略CSP,你那邊能掃描一下CSP正常嗎
答:您好,
web.config中設置了會影響網站正常顯示,建議取消
您單獨在meta中添加了,可以參考https://blog.csdn.net/weixin_/article/details/ 設置試試,非常感謝您長期對我司的支持!
