< 文章详情

IIS+ASP.NET站点安全问题加固

2019/10/4 171次

检测到会话cookie中缺少HttpOnly属性

在写cookie的时候,将HttpOnly的值赋值为True

点击劫持:X-Frame-Options未配置

在IIS站点—》属性—》HTTP 头 标签中添加 自定义头

X-Frame-Options:SAMEORIGIN

参考资料:http://www.jb51.net/article/109436.htm

检测到目标web应用表单密码类型输入启用了自动完成操作

<input type="password" name="password" autocomplete="off">

检测到目标服务器启用了OPTIONS方法

下载安装URLSCAN 配置说明请参阅:https://www.2cto.com/article/201209/157201.html 安装对应版本的urlscan后,安装目录在C:\WINDOWS\system32\inetsrv\urlscan\Urlscan.ini文件中。

[options]

UseAllowVerbs=1                ; If 1, use [AllowVerbs] section, else use the
                               ; [DenyVerbs] section.   The default is 1.