1.X-Protected-By:OpenRASP
這個 Header 用於檢查服務器是否安裝了 OpenRASP,可以關閉。
openRASP是一個百度的安全框架,將其集成到我們的web項目中,就像是給web項目安裝了一款“安全管家”的軟件,它可以檢測到攻擊,並進行攔截。
OpenRASP 拋棄了傳統防火牆依賴請求特徵檢測攻擊的模式,創造性的使用RASP技術(應用運行時自我保護),直接注入到被保護應用的服務中提供函數級別的實時防護,可以在不更新策略以及不升級被保護應用代碼的情況下檢測/防護未知漏洞,尤其適合大量使用開源組件的互聯網應用以及使用第三方集成商開發的金融類應用。
官方文檔:https://rasp.baidu.com/doc/
2.X-XSS-Protection:0
這個響應頭是IE,Chrome和Safari的一個功能,可以在檢測到反射XSS時阻止頁面加載。
常見的響應頭:
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0:禁用XSS過濾。
1 :啓用 XSS 過濾(通常在瀏覽器中默認)。如果檢測到XSS,瀏覽器將清理頁面(刪除不安全的部分)。
mode = block:啓用 XSS 過濾。如果檢測到攻擊,瀏覽器將阻止頁面的呈現,而不是消毒該頁面。
report = <reporting-URI>:(僅限 Chromium)啓用 XSS 篩選。如果檢測到XSS,瀏覽器將清理頁面並報告違規行爲。這使用 CSP report-uri指令的功能發送報告。