【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全_iis 未设置x-xss-protection响应头

IIS环境下的网站存在响应头缺失漏洞如下

1、检测到目标X-Content-Type-Options响应头缺失

2、检测到目标X-XSS-Protection响应头缺失

3、检测到目标Content-Security-Policy响应头缺失 IIS设置

4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS

5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS

6、点击劫持：X-Frame-Options未配置 重新配置IIS

解决方案：打开IIS，点击站点，右侧选择"HTTP响应标头”，点键添加即可

参数值整理如下：

Content-Security-Policy                      default-src 'self'
X-XSS-Protection                             1; mode=block
Strict-Transport-Security                    max-age=31536000
Referrer-Policy                              origin-when-crossorigin
X-Permitted-Cross-Domain-Policies             master-only
X-Download-Options                           noopen
X-Frame-Options                              SAMEORIGIN
X-Content-Type-Options                       nosniff