服务器未设置X-Frame-Options响应头,易受到点击劫持攻击
设置X-Frame-Options响应头
它有三个可选的值:
DENY
SAMEORIGIN
ALLOW-FROM origin
当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。
在httpd.conf中加入
Header always append X-Frame-Options SAMEORIGIN
重启apache