无锡网站制作完成后,大家都知道的ICP备案(ICP备案流程)。当获取到ICP备案号后网站即可正常上线了。但是在实际的使用过程中,无锡地区很多企业的网站系统或其他类似的平台要求进行“信息安全等级保护”,就是我们常说的等保。
等保会对系统做全方面的评测,包括承载的业务情况、网络结构、系统资产、安全服务、安全环境威胁评估等等
下面我们针对其中的一个小分支“安全扫描”中常见的几个问题做一个优化列表。
“X-Frame-Options” 响应头缺失
X-Frame-Options:值有三个:
(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
(3)ALLOW-FROM https://example.com/:表示该页面可以在指定来源的 frame 中展示。
Apache配置
#添加 Header always append X-Frame-Options SAMEORIGIN
Nginx配置
#添加 add_header X-Frame-Options SAMEORIGIN;
隐藏Nginx版本号
每个版本的nginx可能会有一些漏洞,所以,从安全的角度来说,隐藏版本号会相对安全些!同时在等保漏扫中,显示版本号也是作为安全问题扣分的。
nginx.conf配置文件中http区块中添加
#添加 server_tokens off;
隐藏Apache版本等敏感信息
httpd.conf配置文件中修改
#找到 ServerTokens Full ServerSignature On #改成 ServerTokens Prod ServerSignature off
隐藏php版本号敏感信息
php的配置文件php.ini中
#找到 expose_php = On #改成 expose_php = Off