未配置X-frame-options属性,http响应头缺少httponly属性

最新推荐文章于 2024-08-23 17:58:47 发布
最新推荐文章于 2024-08-23 17:58:47 发布
阅读量1.5k 收藏
点赞数
分类专栏: 其他 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37642477/article/details/103812638
版权

首先,我们需要了解为什么要配置X-frame-options,配置该属性是为了处理点击劫持的漏洞。何为点击劫持?点击劫持是一种恶意攻击技术,主要表现在正常的页面上嵌入一个恶意的透明的iframe,当用户想要点击正常页面的链接时,实际上点击的是透明的iframe页面。
X-frame-options 值有三个
DENY:页面中不允许存在iframe,即使是相同域名。
SAMEORIGIN:页面可以在相同域名的frmae中展示(常用属性)。
ALLOW-FROM:页面允许从指定页面的frame加载。
如何配置X-frame-options 在Apache中,我们在http.conf的配置文件中添加以下配置即可。
Header always append X-Frame-Options "SAMEORIGIN "
Header always append Frame-Options “SAMEORIGIN”

如果服务器上均已配置属性,但是项目检测的安全报告依然出现响应头缺失的问题,需要考虑到访问时是否经过前置设备,需要在前置设备上也配置上面的语句。

响应头缺少httponly,我们会在tomcat的conf/目录下的context.xml中配置useHttpOnly="true"的属性。

吉松松
关注
专栏目录
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3683
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
【绿盟】检测到目标Strict-Transport-Security响应缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应缺失 检测到目标Referrer-Policy响应缺失 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Options配置 ..
响应设置X-Frame-Options
重露成涓滴
09-11 2209
问题响应设置X-Frame-Options 描述: 由于应用设置响应X-Frame-Options,易受到点击劫持攻击。点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的 iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面 的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。例如,攻击者通过flash构造出的点击 劫持,可以控制用户电脑的摄像。随
nginx设置X-Frame-Options
最新发布
weixin_46742102的博客
08-23 734
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。重新加载:nginx -s reload。
关于X-Frame-Options 响应配置避免点击劫持攻击的问题整理
夜阑吹雨的博客
05-11 3951
2018.05.07 客户反映学校网站被扫描到 X-Frame-Options Header配置漏洞经查询得到的解决方案一:配置 Apache配置 Apache 的httpd.conf 在所有页面上发送 X-Frame-Options 响应,需要把下面这行添加到配置中:Header always append X-Frame-Options SAMEORIGIN配置位置:修改两个服务器,制作...
web漏洞-缺少X-Frame-Options
qq_35578446的博客
06-13 1万+
当X-Frame-Options HTTP 响应丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、图片,该元素下方就是一个iframe标签,当用户点击后上层的元素后,就相当于点击了iframe标签引入的网页页面。......
如何解决响应缺失漏洞解决
zz_1231的博客
10-15 6724
测试抓包扫出有响应缺失的漏洞,先给出解决方案,下面再详细解释每个漏洞。 public class ResponseHeadFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } public void doFilter(ServletRequest request, ServletResponse response...
常见web漏洞(awvs、nessus)验证方法小记-低危漏洞
weixin_43875708的博客
03-12 1万+
文章目录1.【低危】加密的连接(Unencrypted connection)漏洞描述漏洞危害漏洞证明修复建议2.【低危】SSL弱加密(主机漏洞)漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少HttpOnly标志(Cookie(s) without HttpOnly flag set)漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少secure属性(Cookie(s) wi...
不一致性:HTTP部及其对桌面/移动网站的影响
Phakong∗2470揭示HTTP部不一致性及其对桌面/移动网站的影响0Abner Mendoza德克萨斯农工大学abmendoza@tamu.edu0德克萨斯农工大学cpx0rpc@tamu.edu0Guofei Gu德克萨斯农工大学guofei@cse.tamu.edu0摘要0移动优先...
spring - secruity
casepk的专栏
02-02 1013
下面只介绍了Servlet应用程序的,响应式的写。由于是翻译的参考文档,有些地方应该词不达意。 1、介绍 Spring Security是一个强大且高度可定制的认证和访问控制框架。它是基于Spring的应用程序的事实上的安全标准。 主要特性: 支持全面和可扩展的身份验证和授权; 防止各种攻击,如会话固定攻击,点击劫持,跨网站请求伪造等; 集成Servlet API; 与Spring...
低危漏洞修复——点击劫持X-Frame-Options响应缺失
后端开发
07-11 1088
X-Frame-Options响应缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
有什么 python 在线网站推荐?
隔壁王叔的博客
04-07 4077
有什么 python 在线网站推荐?
密码技术--证书及go语言生成自签证书
Innocence_0的博客
12-26 736
证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。go语言生成自签证书文件(ECDSA)go语言生成自签证书文件(RSA)
X-Frame-Options响应缺失漏洞
m0_47005349的博客
05-31 1105
mozilla firefox官方文档: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
360网站安全提示"X-Frame-Options设置"怎么解决
热门推荐
QC班长的博客
06-10 2万+
X-Frame-Options 响应 X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
X-Frame-Options响应点击劫持
道阻且长,行则将至。
02-21 6025
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
如何使用js-cookie设置cookie的httpOnly属性
03-23
可以使用以下代码来设置cookie的httpOnly属性: ```javascript // 设置cookie Cookies.set('name', 'value', { httpOnly: true }); // 获取cookie Cookies.get('name'); ``` 其中,`httpOnly`属性设置为`true`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值