白帽SEO站長接到遼西某縣級(jí)市人民醫(yī)院咨詢網(wǎng)站安全問題，我們今天淺談某大廠建站被公安部門約談的這點(diǎn)事：這個(gè)大廠在國內(nèi)非常有名，總部位于北京市，是國內(nèi)最早的建站上市公司，早些年，這樣的公司靠自身名氣大，建站賺到了大錢，其實(shí)建出來的網(wǎng)站有很多問題，被國家相關(guān)部門約談很正常，查缺補(bǔ)漏是應(yīng)該做的事情，結(jié)果成了斂財(cái)工具。

       各位網(wǎng)站負(fù)責(zé)人在遇到網(wǎng)絡(luò)監(jiān)察警告時(shí)，通常會(huì)給您發(fā)一個(gè)指定的文件，不是所有的網(wǎng)站都強(qiáng)制辦理二級(jí)或三級(jí)等保的，還是非常通情達(dá)理的，舉例說明：

1）X-Content-Type-Options響應(yīng)頭缺失：X-Content-Type-Options HTTP 消息頭相當(dāng)于一個(gè)提示標(biāo)志，被服務(wù)器用來提示客戶端一定要遵循在 Content-Type 首部中對  MIME 類型 的設(shè)定，而不能對其進(jìn)行修改。這就禁用了客戶端的 MIME 類型嗅探行為，換句話說，也就是意味著網(wǎng)站管理員確定自己的設(shè)置沒有問題。 X-Content-Type-Options響應(yīng)頭的缺失使得目標(biāo)URL更易遭受跨站腳本攻擊。

2）X-XSS-Protection響應(yīng)頭缺失：HTTP X-XSS-Protection 響應(yīng)頭是 Internet Explorer，Chrome 和 Safari 的一個(gè)特性，當(dāng)檢測到跨站腳本攻擊 (XSS)時(shí)，瀏覽器將停止加載頁面。 X-XSS-Protection響應(yīng)頭的缺失使得目標(biāo)URL更易遭受跨站腳本攻擊。

3）Content-Security-Policy響應(yīng)頭缺失：HTTP 響應(yīng)頭Content-Security-Policy允許站點(diǎn)管理者控制用戶代理能夠?yàn)橹付ǖ捻撁婕虞d哪些資源。除了少數(shù)例外情況，設(shè)置的政策主要涉及指定服務(wù)器的源和腳本結(jié)束點(diǎn)。 Content-Security-Policy響應(yīng)頭的缺失使得目標(biāo)URL更易遭受跨站腳本攻擊。

4）Strict-Transport-Security響應(yīng)頭缺失：Web 服務(wù)器對于 HTTP 請求的響應(yīng)頭中缺少 Strict-Transport-Security，這將導(dǎo)致瀏覽器提供的安全特性失效。 當(dāng) Web 服務(wù)器的 HTTP 頭中包含 Strict-Transport-Security 頭時(shí)，瀏覽器將持續(xù)使用 HTTPS 來訪問 Web 站點(diǎn)，可以用來對抗協(xié)議降級(jí)攻擊和 Cookie 劫持攻擊。 其可選的值有： max-age=SECONDS，表示本次命令在未來的生效時(shí)間 includeSubDomains，可以用來指定是否對子域名生效 漏洞危害： Web 服務(wù)器對于 HTTP 請求的響應(yīng)頭中缺少 Strict-Transport-Security，這將導(dǎo)致瀏覽器提供的安全特性失效，更容易遭受 Web 前端黑客攻擊的影響。

5）Web 服務(wù)器對于 HTTP 請求的響應(yīng)頭中缺少 Referrer-Policy，這將導(dǎo)致瀏覽器提供的安全特性失效。 當(dāng)用戶在瀏覽器上點(diǎn)擊一個(gè)鏈接時(shí)，會(huì)產(chǎn)生一個(gè) HTTP 請求，用于獲取新的頁面內(nèi)容，而在該請求的報(bào)頭中，會(huì)包含一個(gè) Referrer，用以指定該請求是從哪個(gè)頁面跳轉(zhuǎn)頁來的，常被用于分析用戶來源等信息。但是也成為了一個(gè)不安全的因素，所以就有了 Referrer-Policy，用于過濾 Referrer 報(bào)頭內(nèi)容，其可選的項(xiàng)有： no-referrer no-referrer-when-downgrade origin origin-when-cross-origin same-origin strict-origin strict-origin-when-cross-origin unsafe-url 漏洞危害： Web 服務(wù)器對于 HTTP 請求的響應(yīng)頭中缺少 Referrer-Policy，這將導(dǎo)致瀏覽器提供的安全特性失效，更容易遭受 Web 前端黑客攻擊的影響。

6）X-Permitted-Cross-Domain-Policies響應(yīng)頭缺失：Web 服務(wù)器對于 HTTP 請求的響應(yīng)頭中缺少 X-Permitted-Cross-Domain-Policies，這將導(dǎo)致瀏覽器提供的安全特性失效。 當(dāng)一些在線的 Web Flash 需要加載其他域的內(nèi)容時(shí)，很多 Web 會(huì)通過設(shè)置一個(gè) crossdomain.xml 文件的方式來控制其跨域方式。很有可能有些開發(fā)者并沒有修改 crossdomain.xml 文件的權(quán)限，但是又有和跨域的 Flash 共享數(shù)據(jù)的需求，這時(shí)候可以通過設(shè)置 X-Permitted-Cross-Domain-Policies 頭的方式來替代 crossdomain.xml 文件，其可選的值有： none master-only by-content-type by-ftp-filename all 漏洞危害： Web 服務(wù)器對于 HTTP 請求的響應(yīng)頭中缺少 X-Permitted-Cross-Domain-Policies，這將導(dǎo)致瀏覽器提供的安全特性失效，更容易遭受 Web 前端黑客攻擊的影響。

7）X-Download-Options響應(yīng)頭缺失：Web 服務(wù)器對于 HTTP 請求的響應(yīng)頭中缺少 X-Download-Options，這將導(dǎo)致瀏覽器提供的安全特性失效。 漏洞危害: Web 服務(wù)器對于 HTTP 請求的響應(yīng)頭中缺少 X-Download-Options，這將導(dǎo)致瀏覽器提供的安全特性失效，更容易遭受 Web 前端黑客攻擊的影響。

8）點(diǎn)擊劫持：X-Frame-Options未配置：點(diǎn)擊劫持（ClickJacking）是一種視覺上的欺騙手段。攻擊者使用一個(gè)透明的、不可見的iframe，覆蓋在一個(gè)網(wǎng)頁上，然后誘使用戶在該網(wǎng)頁上進(jìn)行操作，此時(shí)用戶將在不知情的情況下點(diǎn)擊透明的iframe頁面。通過調(diào)整iframe頁面的位置，可以誘使用戶恰好點(diǎn)擊在iframe頁面的一些功能性按鈕上。 HTTP 響應(yīng)頭信息中的X-Frame-Options，可以指示瀏覽器是否應(yīng)該加載一個(gè) iframe 中的頁面。如果服務(wù)器響應(yīng)頭信息中沒有X-Frame-Options，則該網(wǎng)站存在ClickJacking攻擊風(fēng)險(xiǎn)。網(wǎng)站可以通過設(shè)置 X-Frame-Options 阻止站點(diǎn)內(nèi)的頁面被其他頁面嵌入從而防止點(diǎn)擊劫持。

這種情況下，稍懂一點(diǎn)服務(wù)器運(yùn)維的人，只要按照提示操作整改就可以了?？墒悄承┐髲S建站借這個(gè)機(jī)會(huì)斂財(cái)，并沒有重視國家相關(guān)部門的警告。順便提醒大廠建站想要發(fā)展，必須遵守國家法律法規(guī)。