嗨我已经在IIS中添加了一些 Headers ,以根据某些研究删除我网站中的点击劫持漏洞 .
这些是 Headers
Content-Security-Policy: default-src 'self'
X-Frame-Options: SAMEORIGIN
X-XSS-Protection : 1; mode=block
我的客户端运行扫描但发现它是失败的 . 它在报告中显示如下
Title: 缺少或允许内容 - 安全 - 策略HTTP响应标头
Synopsis: 远程Web服务器不会采取措施来缓解一类Web应用程序漏洞 .
Impact: 某些响应中的远程Web服务器设置了允许的Content-Security-Policy(CSP)响应标头,或者根本不设置响应标头 . W3C Web应用程序安全工作组已提议使用CSP标头作为缓解跨站点脚本和点击劫持攻击的方法 . 另请参阅:http://content-security-policy.com/ https://www.w3.org/TR/CSP2/ Resolution: 为所有请求的资源设置正确配置的Content-Security-Policy标头 .
请有人帮忙解决这个问题 .