Web漏洞

Question

我需要PHP大师的帮助。

我的Web应用程序漏洞存在问题。它是用PHP / MySQL制作的，我仍然需要纠正四个错误：

1. 未设置X-Frame-Options标头
2. Cookie不包含＆＃34; secure＆＃34;属性
3. Cookie不包含＆＃34; HTTPOnly＆＃34;属性
4. 我需要使用htaccess
强制从HTTP到HTTPS

请帮帮我。我已经研究并测试了几种替代方案，但没有一种方法适合我。

我在远程服务器中：

1. Linux / Apache API版本 - 20051115
2. X-Frame-Options - DENY，DENY（这很罕见，因为我也得到了phpinfo＆＃34; X-Frame-Options - SAMEORIGIN＆＃34;，更多信息如下）

提前致谢。问候。

Answer 1

1。）

<meta http-equiv="X-Frame-Options" content="deny">

2,3）

http://geekflare.com/httponly-secure-cookie-apache/

4。）

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Answer 2

只有包含用户可以输入敏感/机密信息的输入表单的页面才容易受到跨框架脚本的攻击。 为了支持旧版浏览器，我建议在每个易受攻击的页面（或主页面，如果可能）上使用以下JavaScript解决方案：

＆＃13;

＆＃13;

if ( self == top ) {
  document.documentElement.style.display = 'block' ;
  document.documentElement.style.visibility = 'visible' ;
} else {
  top.location = self.location ;
}

＆＃13;

html{
  display : none ;
  visibility : hidden ;
}

＆＃13;

＆＃13;

＆＃13;