HTTP响应头之X-Frame-Options, X-XSS-Protection

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/caiqiiqi/article/details/63094568

X-Frame-Options: DENY

由于在iframe.html中

<!DOCTYPE html>
<html>
    <head>
        <title>iframe</title>
        <meta charset="UTF-8">
        <meta name="viewport" content="width=device-width, initial-scale=1.0">
    </head>
    <body>
        <iframe src="http://192.168.170.164/home.php"></iframe>
    </body>
</html>

会加载home.php。于是当用户从index.php登录成功之后跳转到home.php之后,会显示登录成功的状态。这样就造成了CSRF漏洞。可能引起点击劫持攻击。
于是在home.php中加上一句。
即成为

<?php
session_start();
session_regenerate_id();

header("X-Frame-Options: DENY");

这样即便用户在原来的home.php中不退出,而另开一个iframe.html页面的时候,也会因为这句话生效,而加载不出来home.php了。
当用户从网页中退出互殴重新观察HTTP头信息得到如下头信息。
即,多了一个

X-Frame-Options: DENY

而重新加载iframe.html也将得不到任何显示的。
这里写图片描述

X-Frame-Options: sameorigin

然而存在需要使用iframe的情景。在此种情景下,可以使用sameorigin这个值。将之前的DENY换成sameorigin(大小写不敏感)。则可以成功加载。这种情况对同源(origin)是可以加载的。而对不同源则不能加载(具体不能加载的情况可以查看console)。
这里写图片描述

X-XSS-Protection

尝试在页面的搜索框插入js脚本。
http://192.168.170.164/home.php?search=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&Search=Search
在Chrome上被拦截
这里写图片描述
而在Firefox上成功执行。
这是由于没有显式指定X-XSS-Protection头造成的不同浏览器的不同处理。

为了指定清楚,则在之前插入的相同的位置加入这样一句

header("X-XSS-Protection: 0"); //禁用XSS保护

即可禁用XSS保护,使得js代码得以执行。
或者

header("X-XSS-Protection: 1"); //开启XSS保护

即可开启XSS保护,禁止js代码执行,防止XSS。

展开阅读全文

没有更多推荐了,返回首页