日前客戶常反應在資安弱點掃瞄方面,發現Domino Traveler HTTP Server無相關Security Headers,但HCL 對Domino HTTP伺服器持續支援中,相對如Apache和NGinx中較易獲得的安全補丁和增強功能。其中一項重要的安全增強是在Domino的HTTP伺服器中加入安全表頭或HTTP響應表頭。
目前主要需要的標頭包括:
- 嚴格運輸安全政策(Strict-Transport-Security)
- 轉介來源政策(Referrer-Policy)
- 框架選項(X-Frame-Options)
- 內容類型選項(X-Content-Type-Options)
- 跨站腳本保護(X-XSS-Protection)
- 內容安全政策(Content-Security-Policy)
目前從Domino 9.0.1 (Feature Pack 6,簡稱FP6)開始,可以通過Notes.ini設定和網際網路站台的方式,直接在Domino中添加大多數上述標頭。目前早期9.0.1限制是最多可以容納4個標頭,因為你只能使用Notes.ini添加一個標頭,並且在網際網路站點文件中添加3個標頭。但實際由Notes.ini及網際網路站台可以最多5個,而在12.X以上可以數個。
至於9.0.1 部份對於網際網路站點文件,目前可用欄位只有3個標頭的限制。根據我們的經驗,我們發現在許多客戶在使用相關建議後,容易對你的網站造成問題,如traveler 或網頁不能使用,這問題主要較多是是“內容安全政策”部份,主要在運行X-Pages和其他腳本技術的複雜應用的網站來說如traveler/inotes,該標頭可能會導致某些功能中斷,因此在設定上可能需多加注意。
目前可以添加Notes.ini(注意需要重啟你的Domino伺服器才能生效):
HTTPDisableServerHeader=1
HTTP_HSTS_MAX_AGE=17280000
HTTP_HSTS_INCLUDE_SUBDOMAINS=1
HTTPAdditionalRespHeader=X-Frame-Options: SAMEORIGIN
可以利用網際網路站台規則加入:(以12.0.x範例)
- 轉介來源政策(Referrer-Policy)
- 內容類型選項(X-Content-Type-Options)
- 跨站腳本保護(X-XSS-Protection)
請注意在 HTTP回應碼為401,相信很多客戶多為200,但因為大部份弱點掃瞄以treavler 401的回應碼為主
你可以使用以下工具,來檢視你的安全表頭