【发布时间】:2018-05-25 02:45:01
【问题描述】:
根据网络检查报告,我们的网站属于侵犯隐私权:BREACH。 推荐的修复方法是:
禁用 HTTP 压缩
确保用户输入和密码不包含在相同的响应内容中
随机化秘密
我们从 IIS 应用 #1 禁用 HTTP 压缩 => 压缩 => 未选中静态和动态。这在我们的 DEV 上确实有效,但是当我们在 PRODUCTION 服务器中尝试时,它不起作用。 *响应头仍然显示 content-encoding: gzip。即使 HTTP 压缩已关闭
- 我理解 HTTP 压缩被禁用的方式是检查响应标头并确保没有内容编码。
以下是来自 PROD 服务器的示例响应标头。
Cache-Control
private
Connection
Keep-Alive
Content-Encoding
gzip
Content-Length
71447
Content-Type
text/plain; charset=utf-8
Date
Thu, 24 May 2018 16:57:04 GMT
Server
Microsoft-IIS/7.5
Strict-Transport-Security
max-age=31536000; includeSubDomains
Vary
Accept-Encoding
X-AspNet-Version
4.0.30319
X-Content-Type-Options
nosniff
X-Frame-Options
SAMEORIGIN
X-XSS-Protection
1; mode=block
--- Request Header
Accept
*/*
Accept-Encoding
gzip, deflate, br
Accept-Language
en-US,en;q=0.5
Cache-Control
no-cache
Connection
keep-alive
Content-Length
92398
Content-Type
application/x-www-form-urlencoded; charset=utf-8
Cookie
.ASPXANONYMOUS=fMbt3RErereq1AEkAAA…onId=00y51efaerreuc3pw0erereyehwc2wzxk
Host
example.org
Pragma
no-cache
Referer
https://example.org/dsearch.aspx
User-Agent
Mozilla/5.0 (Windows NT 6.1; W…) Gecko/20100101 Firefox/60.0
X-MicrosoftAjax
Delta=true
X-Requested-With
XMLHttpRequest
另外,如何应用 2 和 3 中的修复。 该报告显示以下问题:
TSM_HiddenField_=ctl00_ContentPlaceHolder1_ToolkitScriptManager1_HiddenField&_TSM_CombinedScripts_=%3b% 3bAjaxControlToolkit%2c+Version%3d3.5.7.123%2c+Culture%3dneutral%2c+PublicKey令牌 和
ctl00_ContentPlaceHolder1_ToolkitScriptManager1_HiddenField=&__EVENTTARGET=&__EVENTARGUMENT=&__LASTFOCUS =PRexdxaxbhgeccgjdchdfcgcdefRP(已在响应正文中修改)
【问题讨论】:
标签: asp.net security breach-attack