问:
网站安全检查发现这两个问题,请问有什么办法解决吗
另外用谷歌浏览器访问网站的时候,总提示不安全,然后显示正在用的cookie
,关于网站cookie的安全标志和httponly标志的问题
答:您好,
1、已经在站点根目录下的web.config文件中追加添加了规则
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>
并在站点根目录下新建了.user.ini文件添加了以下规则,重启了程序池;
session.cookie_httponly = On
session.cookie_secure = On
您可以重新扫描检测下;
2、访问站点提示不安全是由于该主机虽然开启了ssl部署但绑定域名没有申请SSL证书或者上传托管ssl,如果尚未申请绑定域名的ssl证书,可以在我司申请该域名的ssl证书后开启强制https后使用https地址访问;非常感谢您长期对我司的支持!
问:亲啊,我现在打开浏览器还是提示不安全,现在问题是,页面布局都变了;
答:您好,显示变化是由于程序缺失部分文件且添加的安全规则影响。现已为您从备份中恢复缺失文件并调整规则。
另外您域名没有申请ssl证书,没有ssl证书的浏览器默认是认为不安全的,请您对域名申请ssl证书(https://www.west.cn/faq/list.asp?unid=1853),非常感谢您长期对我司的支持!
问:
不好意思,我又扫了一下,上面提的几个地方还是有问题。
<add name="X-FRAME-OPTIONS" value="SAMEORIGIN" />
<add verb="OPTIONS" allowed="false"/>
<add verb="TRACE" allowed="false"/>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
后加的这些都没起做用
答:您好,检测是生效的,属于扫描工具检测问题。
另外查看您有删除程序文件,删除会导致页面对应样式丢失且页面轮播无法显示,请核实上传或从备份恢复。
,非常感谢您长期对我司的支持!
问:'未实施内容安全策略CSP'–这个我已经在web.config里加入<add name="Content-" value="default-src 'self'" />
为什么还提示呢?
问:还有,我已经把删除的脚本文件都恢复进来了,然后在web.config加入<add name="Content-" value="default-src 'self'" /> 页面依旧还是变形,轮播无法展示
答:您好,
就是这个设置引起的轮播图显示异常,查看您单独在meta头添加了相应设置
您试试取消web.config再检测试试,非常感谢您长期对我司的支持!
问:我把web.config里的<add name="Content-" value="default-src 'self'" />这句删了就可以正常了;但为什么扫描漏洞的时候,总是有未实施内容安全策略CSP,你那边能扫描一下CSP正常吗
答:您好,
web.config中设置了会影响网站正常显示,建议取消
您单独在meta中添加了,可以参考https://blog.csdn.net/weixin_/article/details/ 设置试试,非常感谢您长期对我司的支持!
