银弹谷零代码开发平台 - 安全扫描报缺少“X-XSS-Protection”头等系列问题

银弹谷零代码开发平台 - 安全扫描报缺少“X-XSS-Protection”头等系列问题描述：
缺少“X-XSS-Protection”头
缺少“X-Content-Type-Options”头
缺少“Content-Security-Policy”头
缺少 HTTP Strict-Transport-Security 头
会话 cookie 中缺少 HttpOnly 属性
支持不推荐使用的 SSL 版本
跨站点请求伪造

---

回复
使用nginx，如已有nginx，请添加如下配置：
#设置HSTS，强制需要输入https或http
add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;
#这是为了失效某些浏览器的内容类型探嗅
#add_header X-Content-Type-Options nosniff;
#防止跨站脚本 Cross-site scripting (XSS)
add_header X-XSS-Protection “1; mode=block”;
add_header Set-Cookie “HttpOnly”;
add_header Set-Cookie “Secure”;
add_header X-Frame-Options “SAMEORIGIN”;
add_header Content-Security-Policy: ‘default-src self’;
如使用https，在配置https的server块添加如下配置：
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
如没有nginx，请在附件下载nginx.zip，已封装好以上内容。