X-Frame-Options 未配置漏洞修复
1. 漏洞背景
X-Frame-Options HTTP 响应头是用来确认是否浏览器可以在 frame 或
iframe 标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入
到其它网站中,以来避免点击劫持。
恶意攻击者可以利用漏洞攻击做到:
击者可以使用一个透明的、不可见的 iframe,覆盖在目标网页上,然后诱
使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe
页面。通过调整 iframe 页面的位置,可以诱使用户恰好点击 iframe 页面的一
些功能性按钮上,导致被劫持。
2. 修复思路
配置 X-Frame-Options HTTP 响应头的值
3. 代码修复
X-Frame-Options 有三个值:
DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中
嵌套也不允许。意味着不光在别人的网站 frame 嵌入时会无法加载,在同域名
页面中同样会无法加载。
SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。也就
说页面可以在同域名页面的 frame 中嵌套
ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。
ALLOW-FROM uri 的方式在大多数浏览器里面是无法兼容的,也就是意味着
煜铭2011
- 粉丝: 1084
- 资源: 85
我的内容管理
收起
- 我的资源
快来上传第一个资源
我的收益 登录查看自己的收益
我的积分
登录查看自己的积分
我的C币
登录后查看C币余额
我的收藏 
我的下载 
下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
评论0