一、不安全Http請求頭:
X-Content-Type-Options(Head字段)
X-XSS-Protection(Head字段)
X-Frame-Options(Head字段)
在IIS網站->HTTP響應頭->修改如下:
原有: 名稱:X-Powered-By 值:ASP.NET 在對應站點的HTTP響應頭新增: 名稱:X-Content-Type-Options 值:nosniff 名稱:X-Frame-Options 值:SAMEORIGIN 名稱:X-XSS-Protection 值:1
改后如圖示:
二、不安全的第三方鏈接
參考網址:
https://www.pianshen.com/article/9942760991/
超鏈接 target="_blank" 要增加 rel="nofollow noopener noreferrer" 來堵住釣魚安全漏洞。如果你在鏈接上使用 target="_blank"屬性,並且不加上rel="noopener"屬性,那么你就讓用戶暴露在一個非常簡單的釣魚攻擊之下 當你瀏覽一個頁面點擊一個a標簽連接 <a href="www.baidu.com" target="_blank"> 跳轉到另一個頁面時, 在新打開的頁面(baidu)中可以通過 window.opener獲取到源頁面的部分控制權, 即使新打開的頁面是跨域的也照樣可以(例如 location 就不存在跨域問題)。 rel=noopener 新特性 <a href="www.baidu.com" target="_blank" rel="noopener noreferrer"></a> 在chrome 49+,Opera 36+,打開添加了rel=noopener的鏈接, window.opener 會為null。在老的瀏覽器中,可以使用 rel=noreferrer 禁用HTTP頭部的Referer屬性,使用下面JavaScript代替target='_blank' 的解決此問題: var otherWindow = window.open('http://keenwon.com'); otherWindow.opener = null; otherWindow.location = url; 使用 window.open 打開頁面,手動把opener設置為null