我正在尝试修复我的标题。在我访问我的页面时检查网络请求时发现两个错误:
1)X-FRAME-OPTIONS: SAMEORIGIN展示两次:
Cache-Control:no-cache
Connection:Keep-Alive
Content-Encoding:gzip
Content-Type:text/html; charset=UTF-8
Date:Wed, 04 Oct 2017 12:58:30 GMT
Keep-Alive:timeout=3, max=1000
Server:Apache
Set-Cookie:laravel_session=eifQ%3D%3D; expires=Wed, 04-Oct-2017 14:58:30 GMT; Max-Age=7200; path=/; secure; httponly
Set-Cookie:XSRF-TOKEN=n0%3D; expires=Wed, 04-Oct-2017 14:58:30 GMT; Max-Age=7200; path=/
Transfer-Encoding:chunked
X-CDN:Incapsula
X-Frame-Options:SAMEORIGIN * <-------------- HERE
X-Frame-Options:SAMEORIGIN * <-------------- HERE
X-Iinfo:7-6626704-6651371 NNNN CT(0 0 0) RT(1507121414380 495318) q(0 1 1 -1) r(2 2) U16
X-XSS-Protection:%E2%80%9C1;mode=block%E2%80%9D <-------- Strange Encoding here...
2)我可以在X-XSS-PROTECTION的控制台上看到以下错误:
解析标题X-XSS-Protection时出错:â;; mode =blockâ:字符位置0预期为0或1.将应用默认保护。
我正在使用Laravel 5.0。自Laravel 4.2以来,FrameGuard.php中间件默认不活动,但您可以选择在需要时启用它。当它被禁用时,我看到上面的错误,我真的无法理解为什么,所以我的第一个虽然是通过实际使用该中间件来覆盖这些头。
当我添加包含以下代码的Illuminate\Http\Middleware\FrameGuard.php中间件时,似乎没有任何改变:
public function handle($request, Closure $next)
{
$response = $next($request);
$response->headers->set('X-XSS-Protection', '1; mode=block');
$response->headers->set('Content-Type','text/html; charset=UTF-8');
$response->headers->set('X-Frame-Options', 'SAMEORIGIN', true);
return $response;
}
我还使用提供Facebook身份验证的Socialite。它有可能修改任何标题吗?
除了PHP发送的响应之外,Web服务器可能还会向响应中添加标头。我们可以通过在公共目录中创建一个空的HTML文件来检查Web服务器添加的标头,例如public / dummy.html
然后,在浏览器中访问该页面http://example.com/dummy.html,并检查响应包含哪些标头。或者,我们可以使用curl命令来显示响应头:
$ curl -I 'http://example.com/dummy.html'
HTTP/2 200
date: Mon, 16 Oct 2017 20:34:24 GMT
...
x-xss-protection: 1; mode=block
x-frame-options: SAMEORIGIN
如果我们在此输出中看到x-xss-protection或x-frame-options标头,则表示网络服务器正在发送这些标头。在网络服务器配置中,x-xss-protection可能存在损坏的值(看起来有人粘贴了程式化的双引号(“…”)而不是直接引号("…"),服务器将其解释为标头值的一部分)。
对于nginx,请在配置文件中查找add_header ...指令。如果使用Apache httpd,请检查服务器配置或.htaccess文件中的Header set ...指令。
它看起来好像该网站使用Incapsula CDN,也可能是注入标题,但我在Incapsula文档中找不到任何暗示这种情况的信息。
Laravel Socialite不会将这些标题添加到响应中。