Web漏洞

Question

我需要PHP专家的帮助。

我的Web应用程序漏洞有问题。它是用PHP / MySQL制作的，我仍然需要更正以下四个错误：

1. 没有设置x框架选项标头
2. Cookie不包含“安全”属性。
3. Cookie不包含"HTTPOnly“属性。
4. 我需要使用htaccess强制从HTTP到HTTPS

请帮帮我。我已经研究和测试了几种替代方案，但没有一种对我有用。

我在远程服务器中有：

1. Linux / Apache API版本- 20051115
2. X帧-选项-拒绝，否认(这是罕见的，因为在phpinfo我得到“X-框架-选项- SAMEORIGIN"，更多下面)

提前谢谢。欢迎光临。

Answer 1

1.)

<meta http-equiv="X-Frame-Options" content="deny">

(2、3.)

http://geekflare.com/httponly-secure-cookie-apache/

4.)

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Answer 2

只有包含输入表单的页面，用户可以在其中输入敏感/机密信息，才容易受到跨帧脚本的攻击。为了支持遗留浏览器，我建议在每个易受攻击的页面(如果可能的话，还可以使用母版页)使用以下JavaScript解决方案：

​

if ( self == top ) {
  document.documentElement.style.display = 'block' ;
  document.documentElement.style.visibility = 'visible' ;
} else {
  top.location = self.location ;
}

html{
  display : none ;
  visibility : hidden ;
}

​