因此,我扫描了我的网站以查找漏洞,并发现了这个,但我不知道如何在谷歌云应用引擎中修复它:
我真的不知道应该在哪里包含标题指令,但我想它在 app.yaml 中,但我不知道使用什么“标签”来设置标题,或者它是否是 CloudFlare 侧补丁。
以下是修复方法的 URL:
我尝试在互联网上搜索答案,但找不到任何人可以解决此问题。
我正在使用带有 python 3.7 的 Flask。
答案1
请注意,该答案基于文档示例且未经测试。
根据app.yaml 的 Google Cloud 文档和您链接到的网站,并带有所需的安全标头,您可能希望尝试以下操作例如:
handlers:
- url: /images
static_dir: static/images
http_headers:
# X-Foo-Header: foo
# X-Bar-Header: bar value
strict-transport-security: max-age=31536000
x-frame-options: deny
x-xss-protection: 1; mode=block
X-Content-Type-Options: nosniff
content-security-policy: default-src 'self'
referrer-policy: strict-origin-when-cross-origin
您可能需要为应用使用的每个常规 URL 单独设置这些内容。如果遇到任何问题,您还可以尝试“大写”版本:
Strict-Transport-Security: max-age=31536000
X-Frame-Options: deny
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src 'self'
Referrer-Policy: strict-origin-when-cross-origin
请注意,您可能需要小心设置Strict-Transport-Security
标头,因为它会有效地禁用对网站的 HTTP 访问。即使您删除了标头,您也可能需要采取额外步骤将其从浏览器中清除。