问:
www.dodo-coco.com 服务器的安全配置问题,这几个问题,检测方说的让服务器那边进行处理,好像是要设置服务器的PHP.INI进行设置。麻烦给我们处理下。谢谢。
1.1 中风险漏洞1.1.1 跨站脚本127.0.0.1 Cookie未设置HttpOnly属性url:http://dodo-coco.com/风险描述当Cookie设置了HttpOnly属性时,将只能通过HTTP协议来访问Cookie,前端脚本(Js,Applet等)无法访问和操作Cookie,从而能有效防止XSS攻击。解决方案开启Cookie的HttpOnly属性。 127.0.0.1 Cookie未设置Secure属性url:http://dodo-coco.com/风险描述当Cookie设置了Secure属性时,Cookie只会在HTTPS的链接中进行传递,可以使得攻击者无法很容易通过分析流量来获得会话ID,从而能有效防止中间人攻击。解决方案开启Cookie的Secure属性。
,www.dodo-coco.com 服务器的安全配置问题
答:您好,可以在您程序公共文件中设置,请您设置测试,非常感谢您长期对我司的支持!
问:他们说 要再服务器上设置
问:他们要求在服务器上设置。咋个办嘛。
问:你们可以帮忙服务器设置哈。
问:还有个这个问题:127.0.0.1点击劫持url:http://dodo-coco.com/风险描述点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。解决方案设置X-Frame-Options响应头它有三个可选的值:DENYSAMEORIGINALLOW-FROM origin当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。
答:您好,wp-config.php已经帮您添加到公共文件了您可以重新检测测试效果是一样的,虚拟主机是共享资源有些参数不能随意修改可能会影响其他用户网站。
问:为什么无法提取备案码
答:您好,由于备案是在主机提供商处办理的,若您是通过我司购买的主机,业务备案码:您可登录会员账户,点击管理中心-业务管理-虚拟主机管理/服务器管理-管理处查看,您可参考如何获取备案码: https://beian.vhostgo.com/faq/show.asp?c3lzaWQ9NA== ,非常感谢您长期对我司的支持.由此给您带来的不便之处,敬请原谅!谢谢!
问:
答:您好
