2. 程式人生 > >Web安全 之 X-Frame-Options響應頭配置

Web安全 之 X-Frame-Options響應頭配置

阿新 發佈:2017-07-28
編制 可能 腳本編制 攻擊 invalid mis itl pla snippet

  最近項目處於測試階段,在安全報告中存在" X-Frame-Options 響應頭缺失 "問題,顯示可能會造成跨幀腳本編制攻擊,如下圖:

  技術分享

  X-Frame-Options:

  值有三個:

  (1)DENY:表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中嵌套也不允許。

  (2)SAMEORIGIN:表示該頁面可以在相同域名頁面的 frame 中展示。

  (3)ALLOW-FROM https://example.com/:表示該頁面可以在指定來源的 frame 中展示。

配置Apache:

(如果是在本地的話,就是在httpd.conf裏面配置;如果是linux(ubuntu的話)就是在apache2.conf裏面)

找個空的位置加入這行代碼,具體看你是選擇哪種

[plain] view plain copy print?技術分享技術分享
  1. <span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGIN</span>
技術分享 
<span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGIN</span>

有可能會遇到一種情況,就是我在服務端配置完apache之後,嘗試 Restart Apache 但是報了一個錯誤:

Invalid command ‘Header’, perhaps misspelled or defined by a module not included in the server configuration

header的方法模塊沒有安裝,我們需要先自行安裝一下:

print?技術分享技術分享

  1. <span style="font-size:14px;">add_header X-Frame-Options SAMEORIGIN;</span>
技術分享 
<span style="font-size:14px;">add_header X-Frame-Options SAMEORIGIN;</span>



配置IIS:

配置 IIS 發送 X-Frame-Options 響應頭,添加下面的配置到 Web.config 文件中:

[plain] view plain copy print?技術分享技術分享
  1. <system.webServer>
  2. ...
  4. <httpProtocol>
  5. <customHeaders>
  6. <add name="X-Frame-Options" value="SAMEORIGIN" />
  7. </customHeaders>
  8. </httpProtocol>
  10. ...
  11. </system.webServer>
技術分享 
<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

大概配置就是這樣了,之前在尋找配置iframe加載的時候,看到有些文章說iframe加載容易被劫持,當然也有破解的方法,不過沒有詳細地去看,有興趣的朋友可以去了解下!

Web安全 之 X-Frame-Options響應頭配置

相關推薦

Web安全 X-Frame-Options響應配置

編制 可能 腳本編制 攻擊 invalid mis itl pla snippet   最近項目處於測試階段,在安全報告中存在" X-Frame-Options 響應頭缺失 "問題,顯示可能會造成跨幀腳本編制攻擊,如下圖:      X-Frame-Options:   值

關於X-Frame-Options 響應配置避免點選劫持攻擊的問題整理

2018.05.07 客戶反映學校網站被掃描到X-Frame-Options Header未配置漏洞經查詢得到的解決方案一:配置 Apache配置 Apache 的httpd.conf 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到配置中:H

X-Frame-Options 響應配置避免點選劫持攻擊

X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe> 或者 <object>中展現的標記。網站可以使用此功能,來確保自己網站的內容沒有被嵌到別人的網站中去,也從而避免了點選劫持 (clickjacki

Web漏洞X-Frame-Options未設定或者缺失

發現專案中存在 X-Frame-Options 低危漏洞: 使用 X-Frame-OptionsEDIT X-Frame-Options 有三個值: DENY 表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中巢狀也不允許。

X-Frame-Options 響應避免點選劫持

配置 Apache配置 Apache 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到 ‘site' 的配置中: Header always append X-Frame-Options SAMEORIGIN?新增後重啟apache

HTTP響應X-Frame-Options, X-XSS-Protection

X-Frame-Options: DENY 由於在iframe.html中 <!DOCTYPE html> <html> <head> <title>iframe</title

X-Frame-Options 信息 WEB安全問題的修復

tom always 避免 apach -o 使用 可能 來源 blank X-Frame-Options 響應頭 X-Frame-Options HTTP響應頭是用來確認是否瀏覽器可以在frame或iframe標簽中渲染一個頁面,網站可以用這個頭來保證他們的內容不會被嵌入

apache iis 使用HTTP 響應資訊中的 X-Frame-Options屬性

原文:https://www.jb51.net/article/109436.htm 方法三:使用HTTP 響應頭資訊中的 X-Frame-Options屬性 使用 X-Frame-Options 有三個可選的值: DENY:瀏覽器拒絕當前頁面載入任何Frame頁面SAMEORIGIN:

【建站知識】360安全檢測出輕微 X-Frame-Options未設定,iis、apache、nginx使用X-Frame-Options防止網頁被Frame的解決方法

當然也是因為被360檢測到了示"X-Frame-Options頭未設定",根據360的提示與百度了一些網上的一些資料整理了下,完美解決問題。 首先看下360給出的方案,但麼有針對伺服器的具體設定,不是每個人對伺服器都很懂啊。 描述: 目標伺服器沒有返回一個X-Frame-Options頭。

web安全同源策略

rip 瀏覽器中 屬性。 名單 java get message 否則 cookie 為什麽使用同源策略?一個重要原因就是對cookie的保護,cookie 中存著sessionID 。如果已經登錄網站,同時又去了任意其他網站,該網站有惡意JS代碼。如果沒有同源策略,那麽這

oauth X-Frame-Options 跳轉授權頁面時,302重定向禁用iframe

授權 ngx auth option rest pairs 測試 authorize iframe 因為oauth/authorize響應頭包含X-Frame-Options: DENY解決方案:openresty nginx 移除該屬性,經測試生效 more_clear

Web安全越權操作:橫向越權與縱向越權

localhost new 用戶修改 情況 name 查看 普通用戶 新的 登錄 參考:http://blog.csdn.net/github_39104978/article/details/78265433 看了上面的文章,對越權操作的概念還是比較模糊,不明確實際場景。

Web安全CSRF攻擊

for idt 例子 expr 由於 不能 防止 失效 內容 一、CSRF是什麽? CSRF(Cross Site Request Forgery),中文是跨站點請求偽造。CSRF攻擊者在用戶已經登錄目標網站之後,誘使用戶訪問一個攻擊頁面,利用目標網站對用戶的信任,以用戶身

web安全token

sub decode tutorial nag 發送 PC 大型網站 ppr ade 最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起傳統的身份驗證方法,Toke

20155236範晨歌免考項目:web安全漏洞利用

以及 程序 pin href pst 虛擬 php arm .html PHP和PHPinfo的簡單介紹 https://www.cnblogs.com/fcgfcgfcg/p/9234978.html 通過CSRF漏洞加深理解 https://www.cnblogs.

web安全SQL註入

password 嚴格 add code 數據 檢查 star 代碼 輸入數據 一、如何理解SQL註入? SQL註入是一種將SQL代碼添加到輸入參數中 傳遞到SQL服務器解析並執行的一種×××手法 二、SQL註入是怎麽產生的? WEB開發人員無法保證所有的輸入都已經過

Web 安全內容安全策略(Content-Security-Policy,CSP)詳解

pid eba elf safe 數據 信息 java php 我們 1.CSP 簡介 內容安全策略(Content Security Policy,簡稱CSP)是一種以可信白名單作機制,來限制網站是否可以包含某些來源內容,緩解廣泛的內容註入漏洞,比如 XSS。 簡單來說,

Web安全跨站腳本攻擊(XSS)

sca 各類 隱藏 word create 十六 請求 後臺 轉換成 XSS 簡介 跨站腳本攻擊,英文全稱是 Cross Site Script,本來縮寫是CSS,但是為了和層疊樣式表(Cascading Style Sheet,CSS)有所區別,所以在安全領域叫做“XSS

Cookie 缺少 HttpOnly屬性和x-frame-options 缺失問題

過濾器dofileter 方法中 新增 HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse res = (HttpServletResponse) response; res.addHead

SpringSecurity限制iframe引用頁面。出現X-Frame-Options deny問題

由於專案中集成了springSecurity框架,導致頁面無法被iframe引用。 網上解決辦法很兩種,一種是修改web.xml,增加fiflter過濾器,我試了並沒解決問題。 Spring Security下,X-Frame-Options預設為DENY,非Spring Securit