当前位置: 首页 > news >正文 软件开发公司的成本有哪些没有网站怎么做seo news 2025/11/3 20:43:23 软件开发公司的成本有哪些,没有网站怎么做seo,制作公司网站的规划,企业网站文章后台添加解决asp.net mvc发布到iis下安全问题 环境信息1.The web/application server is leaking version information via the Server HTTP response2.确保您的Web服务器、应用程序服务器、负载均衡器等已配置为强制执行Strict-Transport-Security。3.在HTML提交表单中找不… 解决asp.net mvc发布到iis下安全问题 环境信息1.The web/application server is leaking version information via the Server HTTP response2.确保您的Web服务器、应用程序服务器、负载均衡器等已配置为强制执行Strict-Transport-Security。3.在HTML提交表单中找不到反CSRF令牌。跨站点请求伪造是一种攻击涉及迫使受害者在不知情或无意的情况下向目标目标发送HTTP请求以便作为受害者执行操作。根本原因是应用程序功能以可重复的方式使用可预测的URL/表单操作。攻击的本质是CSRF利用了网站对用户的信任。相比之下跨站脚本XSS利用了用户对网站的信任。与XSS一样CSRF攻击不一定是跨站点的但也可能是。跨站点请求伪造也称为CSRF、XSRF、一键攻击、会话骑行、混淆代理和海浪。CSRF攻击在许多情况下都是有效的包括*受害者在目标站点上有一个活动会话。*受害者在目标站点上通过HTTP身份验证进行身份验证。*受害者与目标站点位于同一本地网络上。CSRF主要用于使用受害者的权限对目标站点执行操作但最近发现了通过访问响应来披露信息的技术。当目标站点易受XSS攻击时信息泄露的风险会急剧增加因为XSS可以用作CSRF的平台允许攻击在同源策略的范围内进行。4.响应包含“仅内容安全策略报告”标头这可能表示正在进行的实施工作或在促进预生产到生产过程中的监督等。内容安全策略CSP是一个附加的安全层有助于检测和缓解某些类型的攻击包括跨站脚本XSS和数据注入攻击。这些攻击用于从数据盗窃到网站污损或分发恶意软件。CSP提供了一组标准HTTP标头允许网站所有者声明允许浏览器在该页面上加载的已批准内容来源--涵盖的类型包括JavaScript、CSS、HTML框架、字体、图像和可嵌入对象5.The response does not include either Content-Security-Policy with frame-ancestors directive or X-Frame-Options to protect against ClickJacking attacks.6.反MIME嗅探标头X-Content-Type-Options未设置为“nosniff”。这允许旧版本的Internet Explorer和Chrome对响应正文执行MIME嗅探从而可能导致响应正文被解释并显示为声明的内容类型以外的内容类型。当前2014年初和旧版本的Firefox将使用声明的内容类型如果设置了而不是执行MIME嗅探。7.web/应用程序服务器通过一个或多个“X-Powered-By”HTTP响应标头泄漏信息。访问此类信息可能有助于攻击者识别您的web应用程序所依赖的其他框架/组件以及这些组件可能存在的漏洞。 环境信息 服务器Windwos Server 2016项目框架版本.NET Framework 4.7.2 1.The web/application server is leaking version information via the “Server” HTTP response 以下静态文件请求都携带了服务器信息 为什么请求接口没有那是因为在Global.asax.cs配置了 protected void Application_PreSendRequestHeaders(object sender, EventArgs e) {var app sender as HttpApplication;if (app null || app.Context null){return;}// 移除Header中的Serverapp.Context.Response.Headers.Remove(Server); }想要解决请求静态文件携带Server信息可以使用使用 URL Rewrite 模块移除 Server 头URL Rewrite 模块可以全局处理所有请求包括静态文件 1.安装文件下载地址下载地址 2.配置web.config configurationsystem.webServerrewriteoutboundRulesrule nameRemove Server Headermatch serverVariableRESPONSE_Server pattern.* /action typeRewrite value //rule/outboundRules/rewrite/system.webServer /configuration3.效果如下 2.确保您的Web服务器、应用程序服务器、负载均衡器等已配置为强制执行Strict-Transport-Security。 iis响应头添加如下配置 Strict-Transport-SecurityincludeSubDomains效果 3.在HTML提交表单中找不到反CSRF令牌。跨站点请求伪造是一种攻击涉及迫使受害者在不知情或无意的情况下向目标目标发送HTTP请求以便作为受害者执行操作。根本原因是应用程序功能以可重复的方式使用可预测的URL/表单操作。攻击的本质是CSRF利用了网站对用户的信任。相比之下跨站脚本XSS利用了用户对网站的信任。与XSS一样CSRF攻击不一定是跨站点的但也可能是。跨站点请求伪造也称为CSRF、XSRF、一键攻击、会话骑行、混淆代理和海浪。CSRF攻击在许多情况下都是有效的包括*受害者在目标站点上有一个活动会话。*受害者在目标站点上通过HTTP身份验证进行身份验证。*受害者与目标站点位于同一本地网络上。CSRF主要用于使用受害者的权限对目标站点执行操作但最近发现了通过访问响应来披露信息的技术。当目标站点易受XSS攻击时信息泄露的风险会急剧增加因为XSS可以用作CSRF的平台允许攻击在同源策略的范围内进行。 创建令牌 public static class CsrfTokenHelper {private const string SecretKey ; // 服务器端的密钥 public static string CreateCsrfToken(string user){string token ${user}; // 将会话ID和用户值组合起来 byte[] secretKeyBytes Encoding.UTF8.GetBytes(SecretKey);byte[] tokenBytes Encoding.UTF8.GetBytes(token);using (HMACSHA256 hmac new HMACSHA256(secretKeyBytes)){byte[] hashBytes hmac.ComputeHash(tokenBytes);string csrfToken Convert.ToBase64String(hashBytes);return csrfToken;}} }前端from请求中携带令牌 input typehidden nameCSRFToken添加一个验证令牌的过滤器 //解决(CSRF)安全问题,也就是from没有提供票据问题 public class CsrfTokenFilter : ActionFilterAttribute {public override void OnActionExecuting(ActionExecutingContext context){// 获取crsf_tokenstring xsrf_token_headers context.HttpContext.Request.Headers[XSRF-TOKEN] null ? : context.HttpContext.Request.Headers[XSRF-TOKEN].ToString();string xsrf_token_froms string.Empty;// 获取表单数据if (context.HttpContext.Request.Form.Count 0){FormCollection formCollection new FormCollection(context.HttpContext.Request.Form);xsrf_token_froms formCollection[CSRFToken];}string newCsrfToken CsrfTokenHelper.CreateCsrfToken(CurrentUser.UserAccount);if (xsrf_token_headers ! newCsrfToken || xsrf_token_froms ! newCsrfToken){// 验证失败抛出 401 Unauthorized 异常 context.Result RedirectLogin(/Home/Error);}base.OnActionExecuting(context);} }在接口中使用 [WithoutLocalization] [CsrfTokenFilter] public JsonResult xxxxx(FormCollection formCol) {}4.响应包含“仅内容安全策略报告”标头这可能表示正在进行的实施工作或在促进预生产到生产过程中的监督等。内容安全策略CSP是一个附加的安全层有助于检测和缓解某些类型的攻击包括跨站脚本XSS和数据注入攻击。这些攻击用于从数据盗窃到网站污损或分发恶意软件。CSP提供了一组标准HTTP标头允许网站所有者声明允许浏览器在该页面上加载的已批准内容来源–涵盖的类型包括JavaScript、CSS、HTML框架、字体、图像和可嵌入对象 这个问题太恶心了,要是写了内联样式、行内样式、引入脚本文件了配置了之后各种问题解决文档 https://www.w3.org/TR/CSP/ https://developer.mozilla.org/en-US/docs/Web/HTTP/CSPweb.config配置 system.webServerhttpProtocolcustomHeaders!--解决Header中没有csp--add nameContent-Security-Policy valuedefault-src self;script-src self unsafe-inline unsafe-eval; font-src self unsafe-inline unsafe-eval data: http://localhost:*;img-src self data: blob: http://localhost:*; style-src self unsafe-inline; /!--允许请求的http 动作--/customHeaders/httpProtocol /system.webServer5.The response does not include either Content-Security-Policy with ‘frame-ancestors’ directive or X-Frame-Options to protect against ‘ClickJacking’ attacks. system.webServerhttpProtocolcustomHeadersadd nameX-Frame-Options valueSAMEORIGIN //customHeaders/httpProtocol /system.webServer6.反MIME嗅探标头X-Content-Type-Options未设置为“nosniff”。这允许旧版本的Internet Explorer和Chrome对响应正文执行MIME嗅探从而可能导致响应正文被解释并显示为声明的内容类型以外的内容类型。当前2014年初和旧版本的Firefox将使用声明的内容类型如果设置了而不是执行MIME嗅探。 system.webServerhttpProtocolcustomHeadersadd nameX-Content-Type-Options valuenosniff//customHeaders/httpProtocol /system.webServer7.web/应用程序服务器通过一个或多个“X-Powered-By”HTTP响应标头泄漏信息。访问此类信息可能有助于攻击者识别您的web应用程序所依赖的其他框架/组件以及这些组件可能存在的漏洞。 携带服务器信息截图 打开iis下的HTTP响应标头干掉X-Powered-By 调整后的效果 文章转载自: http://www.morning.kdnbf.cn.gov.cn.kdnbf.cn http://www.morning.msgcj.cn.gov.cn.msgcj.cn http://www.morning.ljbpk.cn.gov.cn.ljbpk.cn http://www.morning.fnywn.cn.gov.cn.fnywn.cn http://www.morning.llyqm.cn.gov.cn.llyqm.cn http://www.morning.qkwxp.cn.gov.cn.qkwxp.cn http://www.morning.pffqh.cn.gov.cn.pffqh.cn http://www.morning.qpfmh.cn.gov.cn.qpfmh.cn http://www.morning.kxbry.cn.gov.cn.kxbry.cn http://www.morning.pljxz.cn.gov.cn.pljxz.cn http://www.morning.lznfl.cn.gov.cn.lznfl.cn http://www.morning.gqjzp.cn.gov.cn.gqjzp.cn http://www.morning.qqnh.cn.gov.cn.qqnh.cn http://www.morning.nnwmd.cn.gov.cn.nnwmd.cn http://www.morning.mggwr.cn.gov.cn.mggwr.cn http://www.morning.zmyhn.cn.gov.cn.zmyhn.cn http://www.morning.hqykb.cn.gov.cn.hqykb.cn http://www.morning.hrpmt.cn.gov.cn.hrpmt.cn http://www.morning.nfgbf.cn.gov.cn.nfgbf.cn http://www.morning.wjqbr.cn.gov.cn.wjqbr.cn http://www.morning.kfqzd.cn.gov.cn.kfqzd.cn http://www.morning.sgcdr.com.gov.cn.sgcdr.com http://www.morning.mprpx.cn.gov.cn.mprpx.cn http://www.morning.hlzpb.cn.gov.cn.hlzpb.cn http://www.morning.ywqsk.cn.gov.cn.ywqsk.cn http://www.morning.snnwx.cn.gov.cn.snnwx.cn http://www.morning.mhmdx.cn.gov.cn.mhmdx.cn http://www.morning.tkxyx.cn.gov.cn.tkxyx.cn http://www.morning.kjtdy.cn.gov.cn.kjtdy.cn http://www.morning.mzhjx.cn.gov.cn.mzhjx.cn http://www.morning.nsfxt.cn.gov.cn.nsfxt.cn http://www.morning.rqfkh.cn.gov.cn.rqfkh.cn http://www.morning.rmtxp.cn.gov.cn.rmtxp.cn http://www.morning.sbrrf.cn.gov.cn.sbrrf.cn http://www.morning.ptmsk.cn.gov.cn.ptmsk.cn http://www.morning.wnwjf.cn.gov.cn.wnwjf.cn http://www.morning.sbrjj.cn.gov.cn.sbrjj.cn http://www.morning.dcdhj.cn.gov.cn.dcdhj.cn http://www.morning.yrblz.cn.gov.cn.yrblz.cn http://www.morning.wypyl.cn.gov.cn.wypyl.cn http://www.morning.tlfzp.cn.gov.cn.tlfzp.cn http://www.morning.nlkjq.cn.gov.cn.nlkjq.cn http://www.morning.nwnbq.cn.gov.cn.nwnbq.cn http://www.morning.rbylq.cn.gov.cn.rbylq.cn http://www.morning.ksggr.cn.gov.cn.ksggr.cn http://www.morning.cklgf.cn.gov.cn.cklgf.cn http://www.morning.xltdh.cn.gov.cn.xltdh.cn http://www.morning.qsy39.cn.gov.cn.qsy39.cn http://www.morning.ppbrq.cn.gov.cn.ppbrq.cn http://www.morning.tntqr.cn.gov.cn.tntqr.cn http://www.morning.pqndg.cn.gov.cn.pqndg.cn http://www.morning.jwfqq.cn.gov.cn.jwfqq.cn http://www.morning.mrncd.cn.gov.cn.mrncd.cn http://www.morning.smdkk.cn.gov.cn.smdkk.cn http://www.morning.rwmft.cn.gov.cn.rwmft.cn http://www.morning.wslr.cn.gov.cn.wslr.cn http://www.morning.xckqs.cn.gov.cn.xckqs.cn http://www.morning.gsjw.cn.gov.cn.gsjw.cn http://www.morning.rrcrs.cn.gov.cn.rrcrs.cn http://www.morning.sphft.cn.gov.cn.sphft.cn http://www.morning.trrhj.cn.gov.cn.trrhj.cn http://www.morning.gtnyq.cn.gov.cn.gtnyq.cn http://www.morning.pshpx.cn.gov.cn.pshpx.cn http://www.morning.gcrlb.cn.gov.cn.gcrlb.cn http://www.morning.azxey.cn.gov.cn.azxey.cn http://www.morning.fbzyc.cn.gov.cn.fbzyc.cn http://www.morning.hjbrd.cn.gov.cn.hjbrd.cn http://www.morning.qgbfx.cn.gov.cn.qgbfx.cn http://www.morning.yfmlj.cn.gov.cn.yfmlj.cn http://www.morning.rwqk.cn.gov.cn.rwqk.cn http://www.morning.fzwf.cn.gov.cn.fzwf.cn http://www.morning.plwfx.cn.gov.cn.plwfx.cn http://www.morning.thxfn.cn.gov.cn.thxfn.cn http://www.morning.bwqr.cn.gov.cn.bwqr.cn http://www.morning.gjwkl.cn.gov.cn.gjwkl.cn http://www.morning.gstmn.cn.gov.cn.gstmn.cn http://www.morning.lxhrq.cn.gov.cn.lxhrq.cn http://www.morning.lhzqn.cn.gov.cn.lhzqn.cn http://www.morning.qlrwf.cn.gov.cn.qlrwf.cn http://www.morning.c7513.cn.gov.cn.c7513.cn 查看全文 http://www.tj-hxxt.cn/news/274693.html 相关文章: 北京大型网站优化潜江资讯网最新招聘信息 固安建站公司自己的网站 网站建设 局部放大镜功能江门58同城网 罗湖企业网站建设营销型网站建设有哪些建站流程 公司建设网站的通知书青海住房和城乡建设部网站 如何建立营销型网站Wordpress crm系统 自己做的网站如何发布建设网站的理由 去国外做网站网站的版面设计 国家排污许可网站台账怎么做域名备案网站建设书模板 深圳医疗网站建设报价打开百度网站建设 成都游戏网站建设做汽车网站怎么挣钱吗 沈阳网站制作 600元做京东商城网站 高端网站开发价格wordpress文章tags 如何做电商网站首页在线制作头像生成 网站导航字体如何查询网站备案进度 陕西 做网站的公司网站开发与设计教程 网站建设的对比分析手机网站建设公司推荐 昆明建站网址天眼网查个人 个人网站做哪些内容引流推广团队 网站建设的技术支持包括小程序推广任务 网站后台管理模板下载包头企业网站 商标设计网站推荐龙岗网站优化公司案例 wordpress网站模板下载失败网站中的作用 温州网站建设小公司帮企业做网站前景怎么样 亚马逊站外推广平台有哪些珠宝营销型网站设计 网站改版 方案移动端的网站怎么做的 定制旅游网站建设成都免费制作广州网站 金华英文网站建设做网站需要哪些技能 制作网站比较大的几家公司东莞公司网站开发 湛江网站开发哪家专业攸县网站制作公司
