Ant*_*tos 8 php http-headers x-frame-options laravel laravel-5
我正在尝试修复我的标题.在我访问我的页面时检查网络请求时发现两个错误:
1)X-FRAME-OPTIONS: SAMEORIGIN显示两次:
Cache-Control:no-cache
Connection:Keep-Alive
Content-Encoding:gzip
Content-Type:text/html; charset=UTF-8
Date:Wed, 04 Oct 2017 12:58:30 GMT
Keep-Alive:timeout=3, max=1000
Server:Apache
Set-Cookie:laravel_session=eifQ%3D%3D; expires=Wed, 04-Oct-2017 14:58:30 GMT; Max-Age=7200; path=/; secure; httponly
Set-Cookie:XSRF-TOKEN=n0%3D; expires=Wed, 04-Oct-2017 14:58:30 GMT; Max-Age=7200; path=/
Transfer-Encoding:chunked
X-CDN:Incapsula
X-Frame-Options:SAMEORIGIN * <-------------- HERE
X-Frame-Options:SAMEORIGIN * <-------------- HERE
X-Iinfo:7-6626704-6651371 NNNN CT(0 0 0) RT(1507121414380 495318) q(0 1 1 -1) r(2 2) U16
X-XSS-Protection:%E2%80%9C1;mode=block%E2%80%9D <-------- Strange Encoding here...
2)我可以在控制台上看到以下错误X-XSS-PROTECTION:
解析标题X-XSS-Protection时出错:â;; mode =blockâ:字符位置0预期为0或1.将应用默认保护.
我正在使用Laravel 5.0.FrameGuard.php默认情况下,自Laravel 4.2以来,中间件未处于活动状态,但您可以选择在需要时启用它.当它被禁用时,我看到上面的错误,我真的无法理解为什么,所以我的第一个虽然是通过实际使用该中间件来覆盖这些头.
当我添加Illuminate\Http\Middleware\FrameGuard.php包含以下代码的中间件时,似乎没有任何改变:
public function handle($request, Closure $next)
{
$response = $next($request);
$response->headers->set('X-XSS-Protection', '1; mode=block');
$response->headers->set('Content-Type','text/html; charset=UTF-8');
$response->headers->set('X-Frame-Options', 'SAMEORIGIN', true);
return $response;
}
我还使用提供Facebook身份验证的Socialite.它有可能修改任何标题吗?
除了PHP发送的响应之外,Web服务器可能还会向响应中添加标头.我们可以通过在公共目录中创建一个空的HTML文件来检查Web服务器添加的标头,例如public/dummy.html
然后,在浏览器http://example.com/dummy.html中访问该页面,并检查响应包含哪些标头.或者,我们可以使用curl命令来显示响应头:
$ curl -I 'http://example.com/dummy.html'
HTTP/2 200
date: Mon, 16 Oct 2017 20:34:24 GMT
...
x-xss-protection: 1; mode=block
x-frame-options: SAMEORIGIN
如果我们在此输出中看到x-xss-protection或x-frame-options标题,则表示Web服务器正在发送这些标头.x-xss-protection在Web服务器配置中可能存在损坏的值(看起来有人粘贴了程式化的双引号(“…”)而不是直接引号("…"),服务器将其解释为标头值的一部分).
对于nginx,请add_header ...在配置文件中查找指令.如果使用Apache httpd,请检查Header set ...服务器配置或.htaccess文件中的指令.
它看起来好像该网站使用Incapsula CDN,也可能是注入标题,但我在Incapsula文档中找不到任何暗示这种情况的信息.
Laravel Socialite不会将这些标题添加到响应中.
| 归档时间: |
|
| 查看次数: |
2262 次 |
| 最近记录: |