1、 目标URL存在http host头攻击漏洞
在代码部分注释_SERVER[“HTTP_HOST”]方法,仅留_SERVER["SERVER_NAME”]
2、 会话cookie中缺少HttpOnly属性
在代码部分开启HttpOnly
在服务器开启httpOnlyCookies为True
3、 目标X-Content-Type-Options响应头缺失
在代码部分设置X-Content-Type-Options为nosniff
在IIS设置X-Content-Type-Options为nosniff
4、 目标X-XSS-Protection响应头缺失
在代码部分设置X-XSS-Protection为1
在IIS设置HTTP X-XSS-Protection为1
5、 检测到目标Content-Security-Policy响应头缺失
在页面头部设置Content-Security-Policy
在IIS设置Content-Security-Policy
6、 检测到目标服务器启用了OPTIONS方法
在IIS设置请求筛选OPTIONS为False