漏洞说明
这次对三类漏洞进行说明,之所以将它们放在一起,是因为这三类漏洞都可以在nginx中通过修改配置文件进行治理。
-
XFS攻击
漏洞说明:跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。简单的说,就是攻击者会将被攻击页面的网站内容嵌入到他的iframe中,来截取用户的点击事件或者窃取用户敏感信息。
解决方法:X-FRAME-OPTIONS是目前最可靠的方法。X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。这个头有三个值:①DENY -----表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。;②SAMEORIGIN -----表示该页面可以在相同域名页面的frame中展示;③ALLOW-FROM uri -----表示该页面可以在指定来源的 frame 中展示
-
Insecure Transport: Secure Section Access Not SSL-Enabled
这个漏洞的意思是,SSL协议本身存在安全漏洞,因此要禁用该协议,另外TLSv1.0协议和TLSv1.1协议也存在安全问题,所以最好是只放开TLSv1.2协议。即客户端和服务端只能使用TLSv1.2进行通信