一、扫描结果
二、解决方案
1.Content-Security-Policy头缺失或不安全
1.1作用
简称CSP,意为内容安全策略,通过设置约束指定可信的内容来源,降低异源文件攻击,例如:js/css/image等
个人不建议配置,一是安全威胁较低,而是需要熟悉每一个站点资源引用情况,并且后续资源引用发生变化会导致错误
1.2 相关设置值
指令名 |
demo |
说明 |
default-src |
'self' cdn.example.com |
默认策略,可以应用于js文件/图片/css/ajax请求等所有访问 |
script-src |
'self' js.example.com |
定义js文件的过滤策略 |
style-src |
'self' css.example.com |
定义css文件的过滤策略 |
img-src |
'self' img.example.com |
定义图片文件的过滤策略 |
connect-src |
'self' |
定义请求连接文件的过滤策略 |
font-src |
font.example.com |
定义字体文件的过滤策略 |
object-src |
'self' |
定义页面插件的过滤策略,如 <object>, <embed> 或者<applet>等元素 |
media-src |
media.example.com |
定义媒体的过滤策略,如 HTML6的 <audio>, <video>等元素 |
frame-src |
'self' |
定义加载子frmae的策略 |
sandbox |
allow-forms allow-scripts |
沙盒模式,会阻止页面弹窗/js执行等,你可以通过添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略来放开相应的操作 |
report-uri |
/some-report-uri |
1.3 示例
default-src 'self';只允许同源下的资源 script-src 'self';只允许同源下的js script-src 'self' www.google-analytics.com ajax.googleapis.com;允许同源以及两个地址下的js加载 default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';多个资源时,后面的会覆盖前面的 nginx配置文件中添加如下: add_header Content-Security-Policy "default-src 'self'";只允许同源下的资源 add_header Content-Security-Policy "upgrade-insecure-requests;content *";将本站内部http链接自动改为https,并不限制内容加载来源。
2. X-Content-Type-Options 头缺失或不安全
2.1 作用
防止在IE9、chrome和safari中的MIME类型混淆攻击。firefox目前对此还存在争议。通常浏览器可以通过嗅探内容本身的方法来决定它是什么类型,而不是看响应中的content-type值。
如通过精心制作一个图像文件,并在其中嵌入可以被浏览器所展示和执行的 HTML 和 JavaScript 代码。由于未关闭资源的类型猜测,浏览器将直接执行嵌入的 JavaScript 代码,而不是显示图片。
通过设置 X-Content-Type-Options:如果content-type和期望的类型匹配,则不需要嗅探,只能从外部加载确定类型的资源
2.2 Nginx配置
# 这个响应头的值只能是 nosniff
add_header X-Content-Type-Options nosniff;
3.X-XSS-Protection头缺失或不安全
3.1 作用
用于防范及过滤 XSS,现在大部分浏览器都默认开启里XSS保护
3.2 配置项
0:禁用XSS保护;
1:启用XSS保护;
1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);
3.3 Nginx配置
add_header X-XSS-Protection "1; mode=block";
4.Strict-Transport-Security头缺失或不安全
4.1 作用
Strict Transport Security (STS) 是用来配置浏览器和服务器之间安全的通信。它主要是用来防止中间人攻击,因为它强制所有的通信都走TLS。目前IE还不支持 STS头。
需要注意的是,在普通的http请求中配置STS是没有作用的,因为攻击者很容易就能更改这些值。为了防止这样的现象发生,很多浏览器内置了一 个配置了STS的站点list。
4.2 配置项
max-age是必选参数,是一个以秒为单位的数值,它代表着HSTS Header的过期时间,通常设置为1年,即31536000秒。
includeSubDomains是可选参数,如果包含它,则意味着当前域名及其子域名均开启HSTS保护。
preload是可选参数,一个浏览器内置的使用HTTPS的域名列表。
4.3 Nginx配置
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
5.检测到 SHA-1 密码套件
5.1Nginx配置
ssl_ciphers ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE:!SHA-1;
ssl_prefer_server_ciphers on;
5.2 ingress配置
# 添加注解
nginx.ingress.kubernetes.io/ssl-ciphers
"ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES26-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE:!SHA-1"
https://help.aliyun.com/document_detail/198572.html
https://www.oschina.net/translate/strong_ssl_security_on_nginx?print
https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#ssl-ciphers
6.支持旧 TLS 版本
6.1 阿里云SLB配置
修改443端口TLS策略
6.2Nginx配置
ssl_protocols TLSv1.2 TLSv1.3;
7.跨帧脚本编制防御缺失或不安全
7.1作用
X-Frame-Options 该响应头用于是否允许浏览器加载 frame、 iframe、 object 等属性。可以使用该功能来避免 点击劫持
7.2配置项
X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM https://example.com/ X-Frame-Options: ALLOWALL 当设置为 DENY 时,站点禁止任何页面被嵌入。 当设置为 SAMEORIGIN 时,只允许加载同源的 fram/iframe/object。 当设置为 ALLOW-FROM 时,只允许加载指定的源 当设置为 ALLOWALL 时表示允许全部来源域名
7.3Nginx配置
add_header X-Frame-Options SAMEORIGIN always;
