Mit OWASP 2.6, gibt meine Attacke und Alarm: 'x-content-type-options-header missing' als eine Warnung. ist es vor allem die CSS-Dateien.PHP: Wie konfiguriere ich verknüpfte .css-Dateien für den Header: x-content-type
Kann mir jemand sagen, wie man Header-Antwort für eine CSS-Datei mit php/html-Datei als index.php Webseite '' konfiguriert?
in OWASP ZAP, 2.6, die Software macht die Penetration Tests/Scanning. Es entdeckt, was "Fehler" gefunden werden und meldet sie an den Benutzer. Ich mein Fall war ich Penetration testen, ohne meine Firefox-Browser in Penetration Test-Modus oder "manuelle Proxy" wie gesagt in die Richtungen zu tun. Ich habe einfach vergessen Switch-Modi. Ich fand die Foren viel informativer mit Informationen für uns Anfänger. Ich weiß das zu schätzen. Ich habe einfach die folgenden Header zu meinem Index und anderen Webseiten hinzugefügt. Fügen Sie den folgenden Header-Code zu Ihrer Indexseite hinzu, etc nach dem Sicherheitsproblem in Frage:
header('Content-Type: text/html');
header('X-Content-Type-Options: nosniff', false);
//stop cacheing of page
header("Cache-Control: no-store, no-cache, must-revalidate"); // HTTP/1.1
header("Cache-Control: post-check=0, pre-check=0", false);
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past
header("Pragma: no-cache"); // HTTP/1.0
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("X-XSS-Protection: 1");
header("X-Frame-Options: SAMEORIGIN");
diese befasst sich mit zwei mögliche Sicherheitsprobleme auf verschiedenen Seiten der Website:
Web-Browser X SS-Schutz aktiviert Nicht
X-Content-Type-Header-Optionen fehlt
It "wahrscheinlich" gilt nicht im Fall von CSS-Inhalten. Sie kennen Ihre App/Site jedoch besser. Es könnte Umstände oder Funktionalität geben, wo es relevant ist.
Schließlich können Sie den Anruf am Ende als Benutzer tätigen. Deshalb ist der Schweregrad der Befunde modifizierbar (inkl. Falsch-Positiv) und warum gibt es eine Alert-Filter-Erweiterung. https://groups.google.com/forum/#!forum/zaproxy-users in einer .htaccess-Datei
weitere Forschung sucht, um anzuzeigen, dass dies möglicherweise muß abgeschlossen werden:
kann der ZAP User Group hier zu Forschungsfragen auf ZAP gefunden. noch nicht sicher über die Details, aber einige ähnliche Informationen in anderen Bereichen und Sprachen scheinen auf diese Weise abgeschlossen zu sein. – Rod
scheinbar und nach dem folgenden Link von einer etwas verwandten Frage auf Stapel, fügen wir den PHP direkt in die CSS-Datei: https://StackOverflow.com/Questions/12367134/how-do-irun-php-inside- css/12367163 # 12367163. Ich habe es versucht, aber kann Header-Response-Codes auf einer CSS-Datei nicht sehen ... – Rod