問:
www.dodo-coco.com 服務器的安全配置問題,這幾個問題,檢測方說的讓服務器那邊進行處理,好像是要設置服務器的PHP.INI進行設置。麻煩給我們處理下。謝謝。
1.1 中風險漏洞1.1.1 跨站腳本127.0.0.1 Cookie未設置HttpOnly屬性url:http://dodo-coco.com/風險描述當Cookie設置了HttpOnly屬性時,將只能通過HTTP協議來訪問Cookie,前端腳本(Js,Applet等)無法訪問和操作Cookie,從而能有效防止XSS攻擊。解決方案開啟Cookie的HttpOnly屬性。 127.0.0.1 Cookie未設置Secure屬性url:http://dodo-coco.com/風險描述當Cookie設置了Secure屬性時,Cookie只會在HTTPS的鏈接中進行傳遞,可以使得攻擊者無法很容易通過分析流量來獲得會話ID,從而能有效防止中間人攻擊。解決方案開啟Cookie的Secure屬性。
,www.dodo-coco.com 服務器的安全配置問題
答:您好,可以在您程序公共文件中設置,請您設置測試,非常感謝您長期對我司的支持!
問:他們說 要再服務器上設置
問:他們要求在服務器上設置。咋個辦嘛。
問:你們可以幫忙服務器設置哈。
問:還有個這個問題:127.0.0.1點擊劫持url:http://dodo-coco.com/風險描述點擊劫持是一種視覺上的欺騙手段。攻擊者使用一個透明的、不可見的iframe,覆蓋在一個網頁上,然后誘使用戶在該網頁上進行操作,此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置,可以誘使用戶恰好點擊在iframe頁面的一些功能性按鈕上。解決方案設置X-Frame-Options響應頭它有三個可選的值:DENYSAMEORIGINALLOW-FROM origin當值為DENY時,瀏覽器會拒絕當前頁面加載任何frame頁面;若值為SAMEORIGIN,則frame頁面的地址只能為同源域名下的頁面;若值為ALLOW-FROM,則可以定義允許frame加載的頁面地址。
答:您好,wp-config.php已經幫您添加到公共文件了您可以重新檢測測試效果是一樣的,虛擬主機是共享資源有些參數不能隨意修改可能會影響其他用戶網站。
問:為什么無法提取備案碼
答:您好,由于備案是在主機提供商處辦理的,若您是通過我司購買的主機,業務備案碼:您可登錄會員賬戶,點擊管理中心-業務管理-虛擬主機管理/服務器管理-管理處查看,您可參考如何獲取備案碼: https://beian.vhostgo.com/faq/show.asp?c3lzaWQ9NA== ,非常感謝您長期對我司的支持.由此給您帶來的不便之處,敬請原諒!謝謝!
問:
答:您好
