漏洞扫码 处理使用笔记

1.检测到目标X-XSS-Protection响应头缺失

处理：

在 nginx.conf 或站点配置文件的 server 块中添加：

add_header X-XSS-Protection "1; mode=block" always;

重启Nginx：

nginx -s reload

验证：

1. 使用 curl 命令快速验证

通过命令行（Xshell中输入命令）直接请求目标URL，检查响应头中是否包含 X-XSS-Protection：

curl -I http://你的域名或IP地址

或（如果是HTTPS）：

curl -I https://你的域名或IP地址

输出示例：

HTTP/1.1 200 OK
Server: nginx
Date: Tue, 01 Jan 2024 00:00:00 GMT
Content-Type: text/html
X-XSS-Protection: 1; mode=block  # 关键检查此行
...

---

2. 使用浏览器开发者工具

1. 打开浏览器（Chrome/Firefox/Edge）。
2. 访问你的网站。
3. 按下 F12 打开开发者工具。
4. 切换到 Network（网络） 选项卡。
5. 刷新页面，点击第一个请求（通常是HTML文档）。
6. 在 Headers（标头） 标签页中检查 Response Headers（响应标头），确认包含 X-XSS-Protection: 1; mode=block。

---

3. 在线安全头检查工具

使用以下工具自动扫描所有安全响应头：
• SecurityHeaders.com：
https://securityheaders.com
输入你的域名，工具会显示 X-XSS-Protection 是否配置成功及评分。

• Mozilla Observatory：
https://observatory.mozilla.org
提供更详细的安全配置分析。

---

4. 本地验证配置文件语法

在修改Nginx配置后，务必检查配置文件语法是否正确：

nginx -t

• 如果输出 syntax is ok 和 test is successful，说明配置无语法错误。
• 如果有错误，根据提示修复后重新加载配置：

nginx -s reload