X-Frame-Options未正确配置
描述
点击劫持,clickjacking,也被称为UI-覆盖攻击,是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面,执行攻击者预先设定的操作,达到劫持用户操作目的
分析
未设置X-Frame-Options
方案
HTTP协议中定义了响应头X-Frame-Options,该响应头表示是否可以加载一个iframe 中的页面。如果服务器响应头信息中 没有X-Frame-Options或者配置为X-Frame-Options:ALLOW-FROM uri,则该站
山石网科WEB应用漏洞扫描报告11点存在被劫持攻击的风险。站点可以通过设置X-Frame-Options 为DENY或SAMEORIGIN阻止站点内的页面被其他页面嵌入,从 而防止点击劫持。
1、修改nginx
location service {
add_header 'X-Frame-Options' 'DENY';
......
}