X-Frame-Options 未配置漏洞修复
1. 漏洞背景
X-Frame-Options HTTP 响应头是用来确认是否浏览器可以在 frame 或
iframe 标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入
到其它网站中,以来避免点击劫持。
恶意攻击者可以利用漏洞攻击做到:
击者可以使用一个透明的、不可见的 iframe,覆盖在目标网页上,然后诱
使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe
页面。通过调整 iframe 页面的位置,可以诱使用户恰好点击 iframe 页面的一
些功能性按钮上,导致被劫持。
2. 修复思路
配置 X-Frame-Options HTTP 响应头的值
3. 代码修复
X-Frame-Options 有三个值:
DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中
嵌套也不允许。意味着不光在别人的网站 frame 嵌入时会无法加载,在同域名
页面中同样会无法加载。
SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。也就
说页面可以在同域名页面的 frame 中嵌套
ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。
ALLOW-FROM uri 的方式在大多数浏览器里面是无法兼容的,也就是意味着
评论0