请选择 进入手机版 | 继续访问电脑版
查看: 983|回复: 3

[站长互助] 【发言权已获取】常见漏洞之X-Frame-Options header missing

[复制链接]
发表于 2019-12-9 18:25:02 | 显示全部楼层 |阅读模式
Clickjacking: X-Frame-Options header missing

漏洞描述
Clickjacking (User Interface redress attack, UI redress attack, UI redressing) is a malicious technique of tricking a Web user into clicking on something different from what the user perceives they are clicking on, thus potentially revealing confidential information or taking control of their computer while clicking on seemingly innocuous web pages.
   The server didn't return an X-Frame-Options header which means that this website could be at risk of a clickjacking attack. The X-Frame-Options HTTP response header can be used to indicate whether or not a browser should be allowed to render a page inside a frame or iframe. Sites can use this to avoid clickjacking attacks, by ensuring that their content is not embedded into other sites.
X-Frame-Options HTTP 响应头, 可以指示浏览器是否应该加载一个iframe中的页面。iframe之后可做透明层劫持点击

漏洞影响
存在该漏洞的web应用程序可能会被点击劫持

漏洞属性
CWECWE-693
CVSS 分值:  6.8 — AV:N/AC:M/Au:N/C/I/A
访问向量: 网络
访问复杂性: 中
身份验证: 无
保密性影响: 局部
完整性影响: 局部
可用性影响: 局部

应对策略
网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持

漏洞修复
APACHE配置httpd.conf,添加 Header always append X-Frame-Options DENY ,重启apache
NGINX修改nginx.conf,添加 add_header X-Frame-Options "DENY";
IIS修改web.config,<add name="X-Frame-Options" value="DENY" />

珍爱生命,禁止iframe,防止点击劫持!


 楼主| 发表于 2019-12-9 18:25:32 | 显示全部楼层
多谢官方采纳~~
回复 支持 反对

使用道具 举报

发表于 2020-6-3 08:00:05 | 显示全部楼层
啊...刚回来啊........................
回复 支持 反对

使用道具 举报

发表于 2020-6-3 08:31:52 | 显示全部楼层
学习一下!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|Archiver|Baidu Inc.

GMT+8, 2020-10-27 08:44 , Processed in 0.282704 second(s), 15 queries .

Powered by Discuz! X3.2

© 2001-2011 Comsenz Inc.

返回顶部