無X-Frame-Options頭信息
風險描述:目標服務器沒有返回一個X-Frame-Options頭。攻擊者可以使用一個透明的、不可見的iframe,覆蓋在目標網頁上,然后誘使用戶在該網頁上進行操作,此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置,可以誘使用戶恰好點擊iframe頁面的一些功能性按鈕上,導致被劫持。
解決方案:修改web服務器配置,添加X-frame-options響應頭。賦值有如下三種:(1)DENY:不能被嵌入到任何iframe或frame中。(2)SAMEORIGIN:頁面只能被本站頁面嵌入到iframe或者frame中。(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代碼中加入,在PHP中加入:header('X-Frame-Options: deny');
上一篇:未設置Referrer-Poli
下一篇:關于PHP遠程代碼執行漏洞(CV
