一、漏洞说明
如果网站没有对X-Frame-Options做出正确配置,可导致frame可以加载其他网站,诱导欺骗用户点击恶意链接。
二、测试方法
XFS漏洞测试代码:
<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
function alertKey(e) {
alert("key press = '" + e.which + "'");
}
</script>
</head>
<frameset οnlοad="this.focus();" οnblur="this.focus();" cols="100%" οnkeypress="alertKey(event);">
<frame src="http://test.com.cn" scrolling="auto">
</frameset>
</html>
<frame>标签内src处填写“需要检查的网站URL”,保存为.html文件后双击执行。
执行文件后出现与浏览器访问URL相同的页面,说明存在漏洞。
三、修复方法
建议在中间件中设置X-Frame-Options为SAMEORIGN
参考:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options