X-Frame-Options头未设置

作者: 本站原创  发布时间:  浏览:

发现时间:2016-06-30

漏洞类型:跨站脚本攻击(XSS)

所属建站程序:其他

所属服务器类型:通用

所属编程语言:其他

描述: 目标服务器没有返回一个X-Frame-Options头。

危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

 

解决方案:

修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

也可在代码中加入,在PHP中加入:

header('X-Frame-Options: deny');

上一篇:IIS版本号设置不被识别教程

下一篇:伪静态规则(Apache htaccess , IIS httpd.ini)

相关文章

.htaccess实现301重定向规则大全

西部数码虚拟主机更改PHP版本图文步骤

阿里云虚拟主机如何更改PHP版本

iis 服务器上传图片500解决办法

常见CMS开源程序首页添加备案编号链接工信部方法

添加微信
添加微信,免费咨询

15205695834

新手指南支付购买售后服务关于我们版权合规
合肥秀站网络科技有限公司
Copyright 2002-2022 麦站 版权所有
皖ICP备12018676号 网站地图