En utilisant OWASP 2.6, mon attaque donne et alerte: 'x-content-type-options-header missing' comme une alerte. c'est surtout les fichiers css.PHP: comment configurer les fichiers .css liés pour l'en-tête: x-content-type
Quelqu'un peut-il me dire comment configurer la réponse d'en-tête pour un fichier css lié au fichier php/html en tant que page web index.php ''?
dans OWASP ZAP, 2.6, le logiciel effectue le test de pénétration/balayage. Il découvre ce que 'défauts "sont trouvés et les signale à l'utilisateur.Je suis mon cas, j'étais des tests de pénétration sans mettre mon navigateur Firefox en mode de test de pénétration ou" proxy manuel "comme il a dit de faire dans les directions. Je trouve que les forums sont beaucoup plus ouverts avec des informations pour les débutants, j'apprécie cela.J'ai simplement ajouté les en-têtes suivants à mon index et d'autres pages web où il s'applique.Ajoutez le code d'en-tête suivant en haut de votre page d'index, etc selon la question de la sécurité en question:
header('Content-Type: text/html');
header('X-Content-Type-Options: nosniff', false);
//stop cacheing of page
header("Cache-Control: no-store, no-cache, must-revalidate"); // HTTP/1.1
header("Cache-Control: post-check=0, pre-check=0", false);
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past
header("Pragma: no-cache"); // HTTP/1.0
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("X-XSS-Protection: 1");
header("X-Frame-Options: SAMEORIGIN");
cette traite 2 problèmes potentiels de sécurité sur les différentes pages du site:
Web Browser X SS Protection Non Activer
X-Content-Type-Options En-tête manquant
Il "probablement" ne s'applique pas dans le cas du contenu css. Cependant, vous connaissez mieux votre application/site. Il pourrait y avoir des circonstances ou des fonctionnalités là où c'est pertinent.
En fin de compte, vous pouvez faire l'appel à la fin en tant qu'utilisateur. C'est pourquoi la gravité des résultats est modifiable (y compris Faux positif) et pourquoi il existe des extensions Filtre d'alerte.
le groupe d'utilisateurs ZAP se trouve ici aux questions de recherche sur ZAP: https://groups.google.com/forum/#!forum/zaproxy-users
d'autres recherches cherche à indiquer que cela pourrait devoir être complété dans un fichier .htaccess. pas encore sûr des détails, mais certaines informations similaires dans d'autres domaines et les langues semblent être complétés de cette façon. – Rod
apparemment et selon le lien suivant d'une question quelque peu liée sur la pile, nous ajoutons le php directement au fichier css: https://stackoverflow.com/questions/12367134/how-do-i-run-php-inside- css/12367163 # 12367163. Je l'ai essayé, mais je ne peux pas voir les codes de réponse d'en-tête sur un fichier css ... – Rod