AppScan扫描常见问题解决方法
- 加密会话(SSL)Cookie中缺少Secure属性
给cookie添加secure属性:
在ASP.NET的项目中在Web.config中添加如下配置:
<httpCookies requireSSL="true" />- SSL中的查询参数:
改为在POST请求中发送
由于加密请求的敏感性,建议您尽可能使用HTTP POST(不带URL字符串中的参数),以避免向其他人泄露URL 和参数值。
- 不安全的第三方链接
rel="noopener noreferrer"
- 发现可高速缓存的SSL页面
设置cache-control属性:
<meta http-equiv="cache-control" content="no-cache"> - 未实施加密
在全局入口中增加当前url的过滤,如果起始字符不是https,就直接返回,提示未实施加密,请求无效
//判断是否为https开头
String referer=request.getHeader("Referer");
if(!referer.startsWith("https://")){
forwordException(req, request, response, "","未实施加密,请求无效");//包装一个跳转错误的方法
return;
}- 缺少HTTP Strict-Transport-Security头
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains"/>
</customHeaders>
</httpProtocol>
</system.webServer>ASP.NET 如何解决 缺少HTTP Strict-Transport-Security头
Strict-Transport-Security响应报头(通常缩写为 HSTS)是一种安全功能,可以让一个网站告诉大家,它应该只使用HTTPS,而不是使用 HTTP 进行通信的浏览器。- 过度许可的CORS访问测试
AppScan检测到“Access-Control-Allow-Origin”头的许可权太多
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-06-14,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
