主页 / computer / 问题 / 1547819
Accepted
DeadSec
Asked: 2020-05-02 14:53:36 +0800 CST

如何在我的应用引擎上设置标头指令?

  • 772

所以我正在扫描我的网站以查找漏洞,我发现了这个,但我不知道如何在谷歌云应用引擎中修复它:

我真的不知道应该在哪里包含标头指令,但我想它在 app.yaml 中,但我不知道使用什么“标签”来设置标头,或者它是否是 CloudFlare 侧补丁。

这是如何修复的 URL:

https://wiki.crashtest-security.com/enable-security-headers?utm_source=Crashtest%20Security%20Suite&utm_medium=Suite

我试图在互联网上搜索答案,但找不到任何解决此问题的人。

我正在使用带有 python 3.7 的烧瓶。

python headers

1 个回答

  1. Best Answer

    请注意,此答案基于文档示例,未经测试。

    根据app.yaml 的 Google Cloud 文档以及您使用所需安全标头链接到的站点,您可能希望尝试以下操作,例如:

    handlers:
- url: /images
  static_dir: static/images
  http_headers:
    # X-Foo-Header: foo
    # X-Bar-Header: bar value 
    strict-transport-security: max-age=31536000
    x-frame-options: deny
    x-xss-protection: 1; mode=block
    X-Content-Type-Options: nosniff
    content-security-policy: default-src 'self'
    referrer-policy: strict-origin-when-cross-origin

    您可能需要为您的应用使用的每个通用 URL 单独设置这些。如果遇到任何问题,您也可以尝试“大写”版本:

    Strict-Transport-Security: max-age=31536000
X-Frame-Options: deny
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src 'self'
Referrer-Policy: strict-origin-when-cross-origin

    请注意,您可能需要小心设置Strict-Transport-Security标头,因为它会有效地禁用对站点的 HTTP 访问。即使您删除了标题,您也可能需要采取额外的步骤将其从浏览器中清除。

    • 0

相关问题