web安全:x-frame-options(防止网页被嵌套)头配置

最新推荐文章于 2023-07-06 22:59:21 发布
最新推荐文章于 2023-07-06 22:59:21 发布
阅读量2k 收藏 5
点赞数
分类专栏: 安全检测及处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TivonaLH/article/details/86307278
版权

1.写一个过滤器

public class RequestFilter implements Filter {
	private  final static Logger log=Logger.getLogger("RequestFilter");
	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
        HttpServletRequest req=(HttpServletRequest)request;
        HttpServletResponse res=(HttpServletResponse)response;
		String method = req.getMethod();
		
		res.setHeader("x-frame-options", "SAMEORIGIN"); //

        //执行下一个过滤器
        chain.doFilter(request, response);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}

	

}

2.项目中web.xml配置过滤器

    <filter>
  		<filter-name>RequestFilter</filter-name>
  		<filter-class>com.jz.fw_easyui.ss.filter.RequestFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>RequestFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.x-frame-options默认有三个值

DENY

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM

表示该页面可以在指定来源的 frame 中展示,即可以显示出URL

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

TivonaLH
关注
专栏目录
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
Iframe时针对X-Frame-Options跨域问题
最新发布
weixin_72758566的博客
09-13 240
当我们在一个网页嵌套另一个域名的时候可能会出现跨域错误。这时需要调整x-frame-options参数。
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2551
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
Web安全漏洞 X-Frame-Options响应配置
yangwawa19870921的专栏
09-26 981
介绍:可以参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 下面记录一下Java部分的写法 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.s...
安全测试漏洞大全
weixin_45625450的博客
08-27 5266
建议在重置密码的功能点中,禁止仅以返回数据包中的标识作为跳转下一步的标识,更新密码时,再一次在服务端对用户身份进行校验,或直接使用服务端保存session进行对应用户密码的更新,加强验证码的校验机制,禁止反馈验证码到客户端,验证码不可复用,且存在较短的时效性。风险描述:俗称“贵宾犬”漏洞,此漏洞是针对SSL3.0中CBC模式加密算法的一种Padding Oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如Cookie,Session,则信息的安全则出现了隐患。..
X-Frame-Options未设置 防止网页被iframe内框架调用
01-20
描述: 目标服务器没有返回一个X-Frame-Options。 X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个...修改web服务器配置,添加X-frame-options响应。赋值
iis、apache、nginx使用X-Frame-Options防止网页Frame的解决方法
09-30
【X-Frame-Options详解及应用】 X-Frame-Options 是一种网络安全策略,它通过设置HTTP响应来控制浏览器是否可以在iframeframe标签中展示页面内容。这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用...
being-lost:原型在 Popathon Barcelona #3 被黑
06-02
6. 对用户界面进行防点击劫持的设计,比如禁止frame嵌套或者设置X-Frame-Options。 对于"being-lost-master"这个文件名,它可能是指项目的主分支或者主要代码库。在修复安全漏洞时,开发者通常会在主分支上进行...
最强面试八股文-前端篇
10-05
防止恶意嵌套,可以设置`X-Frame-Options`响应或使用`Content-Security-Policy`(CSP)来限制iframe的使用。 在脚本处理方面,`defer`和`async`是`<script>`标签的两个关键属性,用于非阻塞文档解析下载和执行...
Enable website display in iframe-crx插件
04-06
然而,出于安全原因,许多现代网站,特别是那些涉及敏感信息或使用某些安全技术的网站,会设置X-Frame-Options来禁止在`iframe`中展示内容,以防止点击劫持和其他恶意攻击。此外,同源策略(Same-Origin Policy)...
WebLogic11G集群配置+apache安装及配置转发
11-10
WebLogic11G集群配置+apache安装及配置转发
安全响应(二)​X-Frame-Options
wzj_110的博客
07-06 4329
Sources源形式。
Web安全漏洞 之 X-Frame-Options响应配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http的响应信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
Web漏洞之X-Frame-Options未设置
毅先生的博客
05-22 6566
在开发过程中我们很少会注意到X-Frame-Options,说白了这东西就是告诉浏览器你的当前页面是否允许放入到一个iframe中。它有三个值、允许、不允许、允许相同域名下的iframe中显示。 * DENY:浏览器拒绝当前页面加载任何Frame页面 * SAMEORIGIN:frame页面的地址只能为同源域名下的页面 * ALLOW-FROM:origin为允许frame加载的页面地址解决方
Web安全 之 X-Frame-Options响应配置
yangye1225的博客
01-03 2万+
项目检测时,安全报告中存在 “X-Frame-Options” 响应缺失问题,显示可能会造成跨帧脚本编制攻击,如下:    经过查询发现: X-Frame-Options:值有三个:   (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。   (2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展
Weblogic应用程序部署指南
梦之音的专栏
03-26 2640
Weblogic应用程序部署指南 博客分类: Weblogic应用程序部署指南 1.1    部署JAVA EE应用程序 将编译好的Web应用程序复制到WebLogic的服务器目录下。例如路径D:\bea10\user_projects\domains\base_domain\autodeploy; 这样,当启动WebLogic时候,WebLogic会自动
JAVA 系统常用漏洞解决方案
weixin_34129145的博客
09-28 568
为什么80%的码农都做不了架构师?>>> ...
Clickjacking: X-Frame-Options header
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options部来限制网页在iframe中的显示方式。 X-Frame-Options部有三个可选值: 1. DENY:拒绝网页在任何iframe中显示。 2. SAMEORIGIN:只允许网页在相同域名下的iframe中显示。 3. ALLOW-FROM uri:只允许网页在指定的uri中的iframe中显示。 在nginx中,可以通过在http、server、location块中添加add_header指令来设置X-Frame-Options部。例如: ```shell server { add_header X-Frame-Options SAMEORIGIN always; } ``` 这样设置后,网页将只能在相同域名下的iframe中显示,从而防止Clickjacking攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值