X-Frame-Options

最新推荐文章于 2024-05-04 13:31:21 发布
最新推荐文章于 2024-05-04 13:31:21 发布
阅读量547 收藏 1
点赞数
分类专栏: 漏洞 文章标签: web安全
原文链接:https://blog.csdn.net/richardman/article/details/106733357
版权

漏洞描述:
点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。
解决方案:
修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种:
1、DENY:不能被嵌入到任何iframe或者frame中。
2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中

各个服务器的解决方案

X-Frame-Options: DENY
由于在iframe.html中

<!DOCTYPE html>
<html>
    <head>
        <title>iframe</title>
        <meta charset="UTF-8">
        <meta name="viewport" content="width=device-width, initial-scale=1.0">
    </head>
    <body>
        <iframe src="http://192.168.170.164/home.php"></iframe>
    </body>
</html>

会加载home.php。于是当用户从index.php登录成功之后跳转到home.php之后,会显示登录成功的状态。这样就造成了CSRF漏洞。可能引起点击劫持攻击。
于是在home.php中加上一句。
即成为

<?php
session_start();
session_regenerate_id();
 
header("X-Frame-Options: DENY");

这样即便用户在原来的home.php中不退出,而另开一个iframe.html页面的时候,也会因为这句话生效,而加载不出来home.php了。
当用户从网页中退出互殴重新观察HTTP头信息得到如下头信息。
即,多了一个

X-Frame-Options: DENY

而重新加载iframe.html也将得不到任何显示的。

X-Frame-Options: sameorigin

然而存在需要使用iframe的情景。在此种情景下,可以使用sameorigin这个值。将之前的DENY换成sameorigin(大小写不敏感)。则可以成功加载。这种情况对同源(origin)是可以加载的。而对不同源则不能加载(具体不能加载的情况可以查看console)。

X-XSS-Protection

尝试在页面的搜索框插入js脚本。
http://192.168.170.164/home.php?search=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&Search=Search
在Chrome上被拦截

而在Firefox上成功执行。
这是由于没有显式指定X-XSS-Protection头造成的不同浏览器的不同处理。

为了指定清楚,则在之前插入的相同的位置加入这样一句

header(“X-XSS-Protection: 0”); //禁用XSS保护

即可禁用XSS保护,使得js代码得以执行。
或者

header(“X-XSS-Protection: 1”); //开启XSS保护

即可开启XSS保护,禁止js代码执行,防止XSS。

转载https://blog.csdn.net/richardman/article/details/106733357

阿波次的鹅佛鸽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe src =" http://localhost:3000?url=https://example.com/ " > </ iframe > 演示版
【Chrome扩展开发】定制HTTP请求响应头域
cpongo011702
11-14 885
本文首发于《程序员》杂志2017年第9、10、11期,下面的版本又经过进一步的修订。 关于 Github:IHeader 我的博客:louis blog SF专栏:路易斯前端深度课 原文链接:【Chrome扩展开发】定制HTTP请求响应头域 本文共15k字,阅读需15分钟。 导读搜索是程序员的灵魂,为了提升搜索的效率,以便更快的查询信息,我试着同时搜索4个网站,分别是百度、Google、维基、B...
http笔记
weixin_46274553的博客
07-13 619
http的笔记
SpringSecurity4\5去除x-frame-options deny
wszhlzjl的博客
03-21 501
在开发SpringSecurity5配置的项目时,返回带有iframe的页面时,无法显示。 打开页面工具看到提示 Refused to display in a frame because it set 'X-Frame-Options' to 'DENY' 上网找了半天,都说明了问题,以及在WEB.xml或其它XML文件的配置方法 结合SpringBoot只要在页面访问控制的配置中加上...
40种网页常用小技巧(javascript) ,自动刷新,网页技巧
xiaolang85的专栏
08-25 3019
1. oncontextmenu="window.event.returnValue=false" 将彻底屏蔽鼠标右键no 可用于Table2. 取消选取、防止复制3. onpaste="return false" 不准粘贴4. oncopy="return false;" oncut="return false;" 防止复制5. IE地址栏前换成自己的图标6.
X-Frame-Options to sameorgin
smile121621的博客
04-22 5632
简单来说就是当前域名不允许随便嵌套在别的域名下 X-Frame-Options 有三个值: 各自独立 DENY : 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.1.1.0/16; allow 2001:0db8::/32...
.net Iframe 'X-Frame-Options' to 'SAMEORIGIN' 解决办法
热门推荐
qq_32915337的博客
04-10 2万+
Refused to display 'http://xxx.cn/' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 证明此页面不能被Iframe 解决方法: 1.在被Iframe的web.config 中取消行<add name="X-Frame-Options" value="SAMEORIGIN" /&g...
使用设置报头x-Frame-Options限制iframe网页嵌套
weixin_34185560的博客
03-10 3060
x-frame-options的出现一部分是为了防止一些别有用心的者制作钓鱼网站,现在支持的浏览器有一下: chrome 4.1.249.1042 firefox 3.6.9(1.9.2.9) IE 8.0 opera 10.50 safari   使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIG...
用js调用外部js报错,不能正常访问,X-Frame-Options
qq_15529837的博客
04-29 2253
有关X-Frame-Options的介绍: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 报错背景:写了一个html,用js调用另外一个网页,报错 报错信息:chrome浏览器,refused to display ‘xxxthis is a url’ in a frame because it set ‘X-F...
x-frame-options
05-12
x-frame-options x-frame-options旁路安装方式npm install用法npm run start 而不是将iframe源与网站的实际链接一起使用:< iframe src =" https://example.com/ " > </ iframe > 用< iframe src =" ...
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
koa-xframe:适用于Koa的X-Frame-Options HTTP响应标头实用程序
04-30
:light_bulb: 该中间件是为 v2.xx设计的,并使用来...// default settings -> set X-Frame-Options to 'DENY'app . use ( xFrame ( ) ) ;// custom settings// -> set X-Frame-Options to 'DENY'app . use ( xFrame (
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者...
网络安全思考题
weixin_62304542的博客
04-27 1096
网络安全渗透思考题
网络安全之弱口令与命令爆破(中篇)(技术进阶)
weixin_70911257的博客
04-28 849
弱口令就是容易被人们所能猜到的密码呗,例如:admin,123456,888等等简单的密码。这种针对验证码的爆破只是最简单的一种,还有其他的验证码类型,能爆破,但是有点难,等以后再出一篇看看吧,下篇的内容是token防爆破,防爆破口令绕过,word,加密的zip压缩文件,windows登录密码,mysql数据库登录密码,ssh登录密码的弱口令爆破。下个星期有空再写吧,这篇内容不全还有一个知识点没讲到(出了点问题解决了再加上来吧)。!
大模型引领未来:探索其在多个领域的深度应用与无限可能【第七章、大模型在科技、网络安全、农业等方面的应用探索】
今晚打老虎的专栏
05-01 886
大型模型在科技、网络安全和农业领域的应用持续演进。在科技中,它们加速了天文学和科学研究的进展。在网络安全领域,大模型提高了网络威胁检测和应对的效率。而在农业中,它们帮助农民做出精准决策,优化产量和质量。这些应用展示了大模型在不同领域的广泛用途,为各行业带来新的发展机遇。
【网络安全产品】---应用防火墙(WAF)
最新发布
嘿嘿嘿
05-04 571
Web应用防火墙(Web Application FirewallWAF可对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
网络安全实训Day16
Yisitelz的博客
04-26 1803
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
X-frame-Options
08-10
要在HAProxy配置中发送X-Frame-Options响应头,可以在前端、监听或后端的配置中添加以下行:`rspadd X-Frame-Options:\ SAMEORIGIN`。 [1] 请注意,使用标签来设置X-Frame-Options是无效的,必须通过HTTP头来设置。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值