HTTP响应头之X-Frame-Options, X-XSS-Protection

最新推荐文章于 2024-07-29 10:22:49 发布
最新推荐文章于 2024-07-29 10:22:49 发布
阅读量2.4w 收藏 7
点赞数 1
分类专栏: Web php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/63094568
版权
Web 同时被 2 个专栏收录
220 篇文章 7 订阅
订阅专栏
php
20 篇文章 0 订阅
订阅专栏

X-Frame-Options: DENY

由于在iframe.html中

<!DOCTYPE html>
<html>
    <head>
        <title>iframe</title>
        <meta charset="UTF-8">
        <meta name="viewport" content="width=device-width, initial-scale=1.0">
    </head>
    <body>
        <iframe src="http://192.168.170.164/home.php"></iframe>
    </body>
</html>

会加载home.php。于是当用户从index.php登录成功之后跳转到home.php之后,会显示登录成功的状态。这样就造成了CSRF漏洞。可能引起点击劫持攻击。
于是在home.php中加上一句。
即成为

<?php
session_start();
session_regenerate_id();

header("X-Frame-Options: DENY");

这样即便用户在原来的home.php中不退出,而另开一个iframe.html页面的时候,也会因为这句话生效,而加载不出来home.php了。
当用户从网页中退出互殴重新观察HTTP头信息得到如下头信息。
即,多了一个

X-Frame-Options: DENY

而重新加载iframe.html也将得不到任何显示的。
这里写图片描述

X-Frame-Options: sameorigin

然而存在需要使用iframe的情景。在此种情景下,可以使用sameorigin这个值。将之前的DENY换成sameorigin(大小写不敏感)。则可以成功加载。这种情况对同源(origin)是可以加载的。而对不同源则不能加载(具体不能加载的情况可以查看console)。
这里写图片描述

X-XSS-Protection

尝试在页面的搜索框插入js脚本。
http://192.168.170.164/home.php?search=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&Search=Search
在Chrome上被拦截
这里写图片描述
而在Firefox上成功执行。
这是由于没有显式指定X-XSS-Protection头造成的不同浏览器的不同处理。

为了指定清楚,则在之前插入的相同的位置加入这样一句

header("X-XSS-Protection: 0"); //禁用XSS保护

即可禁用XSS保护,使得js代码得以执行。
或者

header("X-XSS-Protection: 1"); //开启XSS保护

即可开启XSS保护,禁止js代码执行,防止XSS。

caiqiiqi
关注
专栏目录
HTTP响应使用X-XSS-Protection(漏洞)
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
06-05 3255
HTTP X-XSS-Protection 响应是Internet Explorer,Chrome和的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。
IIS环境检测到网站存在响应X-XSS-Protection\X-Frame-Options\X-Content-Type-Options漏洞解决办法
Zola的博客
06-01 1743
4、检测到目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应缺失 IIS设置。1、检测到目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测到目标X-XSS-Protection响应缺失。
HTTP响应使用X-XSS-Protection检查 漏洞修复方案
最新发布
zengliguang的专栏
07-29 786
并不能完全解决所有的 XSS 问题,它只是提供了一种额外的防御机制。同时,及时更新浏览器和服务器软件,以修复可能存在的安全漏洞也是非常重要的。响应HTTP 响应时,会根据其值来启用内置的 XSS 过滤器,并在检测到反射性 XSS 攻击时采取相应的措施,如清理页面或阻止页面加载等。响应,可以在服务器的配置文件中进行相应的添加。虽然这些保护在现代浏览器中基本上不是必需的,因为网站可以实施一个强大的。),但对于尚不支持 CSP 的旧版浏览器的用户,这样,当浏览器收到带有上述。仍然可以提供一定的保护。
HTTP响应使用X-XSS-Protection
u012280685的博客
08-06 7838
HTTP X-XSS-Protection 响应是Internet Explorer,Chrome和Safari的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。 解决办法 Nginx配置 /usr/local/nginx/conf 里,打
将kylin嵌入iframe
ck978105293的博客
09-16 315
kylin version 2.6.6 vim tomcat/conf/web.xml 加入关于X-Frame-Options的filter配置,从而允许跨域的iframe的请求。 <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter&lt
如何设置HttpX-XSS-Protection
qq_27195727的博客
01-05 1332
我试过这个: 在
关于nginx的HTTP Response响应字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 1850
关于nginx的HTTP Response响应字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
Web安全漏洞 X-Frame-Options响应配置
yangwawa19870921的专栏
09-26 956
介绍:可以参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 下面记录一下Java部分的写法 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.s...
java+设置全局响应_[网络/Java EE/Web]Tomcat/Nginx中配置全局的安全响应(header)——X-Frame-Options / X-XSS-Protection / X...
weixin_28871821的博客
02-27 1789
Step1 配置Tomcatstep1.1 查看是否已配置目标的HTTP网络安全方式1 – Tomcat / conf/web.xmlcat /opt/myTomcat/conf/web.xml | grep --color=auto -C 10 -i "httpHeaderSecurity"方式2 查看Tomcat的任一Web HTTP网页/请求step1.2 确认Tomcat服务器中(ca...
nginx 安全配置代码 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options
09-02
当配置 Nginx 的安全选项时,你可以使用以下代码来设置 X-Frame-Options、X-XSS-Protection 和 X-Content-Type-Options: ``` server { ... # 配置 X-Frame-Options add_header X-Frame-Options SAMEORIGIN; ...
nginx 中的配置 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options
09-02
2. X-XSS-Protection:这个选项用于开启浏览器的内置跨站脚本攻击(XSS)过滤器。在Nginx中,可以通过以下行启用: ``` add_header X-XSS-Protection "1; mode=block"; ``` 这将设置X-XSS-Protection部,并将...
巧用HTTP 响应部提高 Web 安全性
weixin_34337381的博客
11-16 150
在 Web 服务器做出响应时,为了提高安全性,在 HTTP 响应中可以使用的各种响应字段。1、X-Frame-Options响应中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面,主要用来防止 Clickjacking (点击劫持)***。X-Frame-Options: SAMEORIGINDENY: 禁止显示 frame 内的页面(即使是同...
响应缺省xss防御(X-XSS-Protection、X-Content-Type-Options
墨痕诉清风的博客
06-28 392
Web对于 HTTP 请求的响应缺少 X-Content-Type-Options,这意味着此网站更易遭受跨站脚本攻击(XSS)。X-Content-Type-Options 响应相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。
Web 安全之 X-XSS-Protection 详解
路多辛的所思所想
11-27 1919
跨站脚本(XSS)是一种常见的网络攻击,攻击者通过在网站中插入恶意脚本,当用户访问被污染的页面时,恶意脚本会被执行,从而窃取用户的敏感信息、篡改页面内容或者执行其他恶意操作。XSS 攻击分为三种类型:持久型、DOM-based 型和反射型 XSS(非持久型)。持久型 XSS:攻击者在网页中插入恶意脚本,并将其保存到服务器或数据库中。当其他用户访问该页面时,恶意脚本会被执行,从而进行长期的网络攻击。这种类型的攻击比较危险,因为可以长期地影响用户。
检测到目标X-XSS-Protection响应缺失
lxyoucan的博客
07-15 4355
HTTP X-XSS-Protection 响应是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。X-XSS-Protection响应的缺失使得目标URL更易遭受跨站脚本攻击。
检测到目标X-XSS-Protection响应缺失【低危】
战神/calmness的博客
08-31 5858
目录 简介 过程 建议 简介 HTTP X-XSS-Protection 响应是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。 过程 打开网页抓包流量查看流量包信息 建议 增加X-XSS-Protection配置情况进行漏洞验证 ...
轻松理解 X-XSS-Protection
weixin_41416431的博客
09-02 1064
https://www.itcodemonkey.com/article/5052.html
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值