JAVA年度安全 第九周 X-FRAME-OPTIONS

最新推荐文章于 2024-05-03 15:00:00 发布
最新推荐文章于 2024-05-03 15:00:00 发布
阅读量8.3k 收藏
点赞数
分类专栏: security 文章标签: java 安全 security html 浏览器

What is it and why should I care?

X-Frame-Options(在草拟的标准中已经移除X-,只保留Frame-Options)是一个新技术用来指定网站页面是否允许嵌入IFrame页面。这样能够解决点击劫持(clickjacking)攻击。

此技术是基于每个页面的HTTP响应头特定参数实现的。支持(X-)Frame-Options头参数的浏览器根据标准会允许或禁用当前页面上的IFrame页面。

 

What shouldI do about it?

此方法同样也是一个低风险、同时能增加更多安全措施的方案。在某些情况下此方案会被限制不起作用,但是不会影响其他安全措施,这种方案只是一个附加的保护机制。

 

在页面上可以指定3中不同的IFrame页面嵌入规则。

方案1:DENY

此规则表示页面不能被嵌入页面,即使被嵌入的页面地址是同源的。如下是简单的代码片段:

HttpServletResponse response …;

response.addHeader(“X-Frame-OPTIONS”, “DENY”);

 

方案2:SAMEORIGIN

表示只允许嵌入同源的页面,代码如下:

HttpServletResponse response …;

response.addHeader(“X-Frame-OPTIONS”, “SAMEORIGIN”);

 

方案3:Allow-From

当前可以被嵌入指定域名的页面,例如:

HttpServletResponse response …;

Response.addHeader(“X-Frame-OPTIONS”, “Allow-Fromhttps://some.othersite.com”);

 

更多的帮助说明可以参考owasp的X-Frame-Options示例:J2EE filter https://www.owasp.org/index.php/ClickjackFilter_For_Java_EE#Source_Code

 

(X-)Frame-Options以极低的代价来保护你的用户,为网站添加一层保护措施来阻止点击劫持clickjacking。

 

Reference

———–

https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

https://www.owasp.org/index.php/Clickjacking#Defending_with_response_headers

http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frameoptions.

aspx

http://blog.mozilla.com/security/2010/09/08/x-frame-options/

http://lcamtuf.blogspot.com/2011/12/x-frame-options-or-solving-wrong.html

http://www.jtmelton.com/2012/02/03/year-of-security-for-java-week-5-clickjacking-prevention/

http://tools.ietf.org/html/draft-gondrom-frame-options

 

 

 

wavefly_liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java怎么增加跨帧脚本编制_转载:Web安全 之 X-Frame-Options响应头配置
weixin_42360977的博客
02-27 468
项目检测时,安全报告中存在 “X-Frame-Options” 响应头缺失问题,显示可能会造成跨帧脚本编制攻击,如下:经过查询发现:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exam...
Java:“目标服务器没有返回一个X-Frame-Options头”的解决方案
IT老兵的驿站
07-29 3760
原帖位于IT老兵博客,沉淀着一个IT老兵对于这个行业的认知。 Java:“目标服务器没有返回一个X-Frame-Options头”的解决方案。 前言 在涉及网站安全时遇到一个问题,“目标服务器没有返回一个X-Frame-Options头”,找了网上的帖子,说的都不是太清楚,所以研究总结一下,方便后人。 正文 问题描述 以下摘录一下对于安全网站这个问题的描述和建议解决方案: ...
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
zzz6583zz的博客
05-03 649
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
X-Frame-Options简介
zzhongcy的专栏
05-06 4万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
使用HTTP响应头X-Frame-Options防止网页被Frame
Just do IT
08-02 2万+
有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。 X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frameframe加载。
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
- **Tomcat**:对于基于Tomcat的Java应用,可以创建一个过滤器,添加`response.addHeader("x-frame-options","SAMEORIGIN");`以确保所有响应都包含这个头。 - **HAProxy**:在HAProxy的配置文件中,根据版本不同,...
X-Frame-Options相关文件
08-27
Tomcat是流行的Java应用服务器,可能会涉及到Web应用的安全配置,包括设置X-Frame-Options头来保护其服务。 3. **CntenHttpHeaderSecurityFilter.java** - 这看起来是一个Java过滤器,可能用于添加或检查HTTP响应头...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
x-frame-bypass:绕过X帧选项
05-10
总之,`X-Frame-Options`是防止点击劫持的重要手段,而“绕过x-frame-options”的主题涉及了安全与调试之间的平衡。开发者应确保在生产环境中正确设置`X-Frame-Options`,而在测试和开发环境中则可能需要灵活处理。...
【转】Tomcat如何配置“X-Frame-Options头”
happydecai的博客
05-15 6293
【原理】 配置http的响应头信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): <% response.addHeader(...
Web安全漏洞 X-Frame-Options响应头配置
yangwawa19870921的专栏
09-26 917
介绍:可以参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 下面记录一下Java部分的写法 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.s...
X-Frame-Options Header Not Set漏洞解决
ssrswk9的博客
08-21 7292
这是用OWASP ZAP漏扫软件扫出来的漏洞,漏洞提示响应头没有设置。通过过滤器设置响应头,扫描的时候还是存在漏洞。仔细排查,在tomcat 9服务器的conf目录下,web.xml文件中,加入一段过滤代码,解决问题。 在Java中增加过滤器的代码如下: HttpServletRequest req = (HttpServletRequest)request; HttpServletRespo...
360网站安全提示"X-Frame-Options头未设置"怎么解决
QC班长的博客
06-10 2万+
X-Frame-Options 响应头 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
使用X-Frame-Options防止网页被Frame
weixin_34128839的博客
04-17 369
转载自:http://code-tech.diandian.com/post/2013-10-07/40053975756防止被 FRAME 加载你的网站页面1. meta 标签:很多时候没有效果,无视<meta http-equiv="Windows-Target" contect="_top">2. js 判断顶层窗口跳转,可轻易破解,意义不大function...
java filter 用法_Java Optional filter()用法及代码示例
weixin_34543731的博客
02-25 1581
Java中的java.util.Optional类的filter()方法用于通过将此Optional实例的值与给定的谓词进行匹配来过滤此Optional实例的值,然后返回已过滤的Optional实例。如果此Optional实例中没有值,则此方法返回一个空的Optional实例。用法:public Optionalfilter(Predicale predicate)参数:此方法接受谓词作为Pred...
java使用Filter过滤器对Response返回值进行修改
weixin_33749131的博客
04-13 5419
转:java使用Filter过滤器对Response返回值进行修改 练习时只做了对request 的处理,这里记录一下,filter 对 response的处理。 原文地址:java使用Filter过滤器对Response返回值进行修改 有时候在开发过程中会有这样一个场景,有时需要对返回的数据进行处理。比如加密啊,添加某些标记啊等等。这种情况我们可以通过过滤器去...
java中增加X-Frame-Options配置
04-13
Java中增加X-Frame-Options配置是为了防止网页被嵌入到其他网站的iframe中,从而提高网站的安全性。以下是在Java中增加X-Frame-Options配置的方法: 1. 使用Servlet过滤器:可以通过编写一个Servlet过滤器来实现X...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值