X-Frame-Options头未设定
发布时间:08/01 来源:未知 浏览:
关键词:
破绽类型:跨站足本袭击(XSS)
所属建站程序:其他
所属办事器类型:通用
所属编程说话:其他
描述: 指标办事器没有返回一个X-Frame-Options头。
危害: 袭击者可以运用一个透亮的、不成见的iframe,遮盖在指标网页上,然后诱运用户在该网页上进行操纵,此时会员将在不知情的状况下点击透亮的iframe页面。通过调整iframe页面的位置,可以诱运用户刚好点击iframe页面的一些功能性按钮上,致使被劫持。
解决方案:
修改web办事器配置,增加X-frame-options相应头。赋值有如下三种:
(1)DENY:不克不及被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
也可在代码中参加,在PHP中参加:
header('X-Frame-Options: deny');
