网站低危漏洞通过伪静态功能处理方法

很多网站通过第三方平台扫描会出现很多低危漏洞，特别是使用绿盟进行安全检测经常会出现。Linux和虚拟主机都会有这个情况，可以通过伪静态的方式进行设置。

l Windows主机
Windows主机需要在wwwroot目录下的web.config里面添加以下规则：


   
     
   
















   

   


请注意规则必须要添加的节点，如果添加错误会导致网站无法打开。

l Linux主机
在wwwroot目录下的.htaccess中添加以下规则：

#检测到目标X-Content-Type-Options响应头缺失
Header set X-Content-Type-Options "nosniff"
#检测到目标X-XSS-Protection响应头缺失
Header set X-XSS-Protection "1; mode=block"
#检测到目标Strict-Transport-Security响应头缺失
Header set Strict-Transport-Security: "max-age=31536000 ; includeSubDomains ;"
#检测到目标Referrer-Policy响应头缺失
Header set Referrer-Policy: strict-origin-when-cross-origin
#检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
Header set X-Permitted-Cross-Domain-Policies "master-only"
#检测到目标X-Download-Options响应头缺失
Header set X-Download-Options "noopen"
#点击劫持：X-Frame-Options未配置
Header set X-Frame-Options "SAMEORIGIN"

注意：无论windows还是Linux主机，添加规则即可生效不需要做其他设置。