>[primary]低危漏洞 常見的低危漏洞主要包括： HTTP X-Permitted-Cross-Domain-Policies 響應頭缺失 HTTP X-XSS-Protection 響應頭缺失 HTTP X-Download-Options 響應頭缺失 HTTP X-Content-Type-Options 響應頭缺失 HTTP Content-Security-Policy 響應頭缺失 HTTP Referer-Policy 響應頭缺失 服務器啟用了TRACE Method Cookie沒有設置secure屬性 缺少X-Frame-Options頭 HTTP Strict-Transport-Security 響應頭缺失 解決這類低危漏洞從服務器配置和代碼層面配置兩個方面入手： 1、服務器配置 (1)、修改httpd.conf  (2)、修改conf/extra/httpd-vhosts.conf  2、代碼層面 在入口文件中增加如下headers ~~~ //add cookie HttpOnly & secure settings ini_set("session.cookie_httponly", 1);//php 5.1 以前版本使用 header("Set-Cookie: hidden=value; httpOnly"); ini_set("session.cookie_secure", 0); //設置為true或者1時服務器只在https協議下接受cookie數據 //add safe headers header("Strict-Transport-Security: max-age=31536000; includeSubDomains"); header('X-Frame-Options:SAMEORIGIN'); header('Referer-Policy:origin'); header("Content-Security-Policy:object-src 'self'"); header('X-Permitted-Cross-Domain-Policies:master-only'); header('X-Content-Type-Options:nosniff'); header('X-XSS-Protection:1; mode=block'); header('X-Download-Options:noopen'); ~~~ [注意]：單一的在入口文件中增加header并不能完全解決問題，因為站點中可能存在純靜態的html資源，如果沒有在服務器上設置這些靜態資源在安全評測中仍然會暴雷。