检测到目标网站X-Download-Options响应头缺失

漏洞报告：

检测到目标网站X-Download-Options响应头缺失。

漏洞描述：

Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options，这将导致浏览器提供的安全特性失效。 

漏洞危害: 

Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options，这将导致浏览器提供的安全特性失效，更容易遭受 Web 前端黑客攻击的影响。

解决办法：

（1）修改服务端程序，给 HTTP 响应头加上 X-Download-Options

【a】如果是 java 服务端，可以使用如下方式添加 HTTP 响应头：

response.setHeader("X-Download-Options", "value")

【b】如果是 php 服务端，可以使用如下方式添加 HTTP 响应头：

header("X-Download-Options: value")

【c】如果是 asp 服务端，可以使用如下方式添加 HTTP 响应头：

Response.AddHeader "X-Download-Options", "value"

【d】如果是 python django 服务端，可以使用如下方式添加 HTTP 响应头：

response = HttpResponse() response["X-Download-Options"] = "value"

【e】如果是 python flask 服务端，可以使用如下方式添加 HTTP 响应头：

response = make_response() response.headers["X-Download-Options"] = "value"； 

（2）修改负载均衡或反向代理服务器，给 HTTP 响应头加上 X-Download-Options

【a】如果使用 Nginx、Tengine、Openresty 等作为代理服务器，在配置文件中写入如下内容即可添加 HTTP 响应头：

add_header X-Download-Options value;

【b】如果使用 Apache 作为代理服务器，在配置文件中写入如下内容即可添加 HTTP 响应头：

Header add X-Download-Options "value"。

实际操作如下：

（1）如果是iis环境，在网站根目录新建web.config配置文件，并在文件中加入以下代码：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <!--检测到目标X-Download-Options响应头缺失-->
                <add name="X-Download-Options" value="noopen" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

（2）如果是Apache环境，在网站根目录新建.htaccess配置文件，并在文件中加入以下代码：

<IfModule mod_headers.c>
  Header set X-Download-Options noopen
</IfModule>

如果在.htaccess中有其他伪静态规则，在放在伪静态规则前面即可，如下所示：

<IfModule mod_headers.c>
  Header set X-Download-Options noopen
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^article-([0-9]+)-([0-9]+)-([0-9]+).html index.php?m=content&c=index&a=show&catid=$1&id=$2&page=$3
RewriteRule ^category-([0-9]+)-([0-9]+).html index.php?m=content&c=index&a=lists&catid=$1&page=$2
</IfModule>