X-FRAME-OPTIONS wird zweimal angezeigt und X-XSS-PROTECTION wird falsch angezeigt

8

Ich versuche meine Header zu reparieren. Ich sehe zwei Fehler beim Überprüfen der Netzwerkanforderungen, während ich meine Seite besuche:

1) X-FRAME-OPTIONS: SAMEORIGIN wird zweimal angezeigt:

%Vor%

2) Ich kann den folgenden Fehler in der Konsole für X-XSS-PROTECTION sehen:

  

Fehler beim Parsen der Kopfzeile X-XSS-Schutz: â1; mode = blockâ: erwartete 0 oder 1 bei Zeichenposition 0. Die Standardschutzfunktionen werden angewendet.

Ich benutze Laravel 5.0. Die Middleware " FrameGuard.php " ist standardmäßig seit Laravel 4.2 nicht aktiv, Sie haben jedoch die Option, sie bei Bedarf zu aktivieren. Wenn es deaktiviert ist, sehe ich die oben genannten Fehler und ich kann wirklich nicht verstehen warum, also war meine erste, diese Überschriften zu überschreiben, indem ich diese Middleware wirklich benutzte.

Wenn ich die Illuminate\Http\Middleware\FrameGuard.php -Middleware, die den folgenden Code enthält, hinzufüge, scheint sich nichts zu ändern:

%Vor%

Ich benutze auch Socialite, die Facebook-Authentifizierung bietet. Gibt es eine Chance, dass es Header ändert?

    
Antonios Tsimourtos 04.10.2017, 13:07
quelle

1 Antwort

4

Der Webserver kann zusätzlich zu den von PHP gesendeten Antworten Header hinzufügen. Wir können überprüfen, welche Header der Webserver hinzufügt, indem wir eine leere HTML-Datei im Verzeichnis public erstellen, z. B. public / dummy.html

Besuchen Sie dann diese Seite im Browser Ссылка und prüfen Sie, welche Header die Antwort enthält. Alternativ können Sie den Befehl curl verwenden, um die Antwortheader anzuzeigen:

%Vor%

Die Option -D speichert die Header in einer Datei. In diesem Fall geben wir - als Datei an, um die Ausgabe über STDOUT an das Terminal zu senden.

Wenn wir die Header x-xss-protection oder x-frame-options in dieser Ausgabe sehen, bedeutet dies, dass der Webserver diese Header sendet. Es kann einen beschädigten Wert für x-xss-protection in der Webserver-Konfiguration geben (es sieht so aus, als hätte jemand stilisierte doppelte Anführungszeichen ( “…” ) anstelle von geraden Anführungszeichen ( "…" ) eingefügt, die der Server als Teil des Header-Wertes interpretiert).

Für nginx suchen Sie in den Konfigurationsdateien nach add_header ... directions. Wenn Sie Apache Ссылка verwenden, prüfen Sie in der Serverkonfiguration oder in der .htaccess -Datei auf Header set ... -Direktiven.

Es sieht auch so aus, als ob die Site das Incapsula-CDN verwendet, das möglicherweise auch die Header eingibt, aber ich konnte in der Incapsula-Dokumentation keine Informationen finden, die darauf hindeuten, dass dies der Fall ist.

Laravel Socialite fügt diese Header nicht zu den Antworten hinzu.

    
Cy Rossignol 16.10.2017, 20:58
quelle