首先,我们需要了解为什么要配置X-frame-options,配置该属性是为了处理点击劫持的漏洞。何为点击劫持?点击劫持是一种恶意攻击技术,主要表现在正常的页面上嵌入一个恶意的透明的iframe,当用户想要点击正常页面的链接时,实际上点击的是透明的iframe页面。
X-frame-options 值有三个
DENY:页面中不允许存在iframe,即使是相同域名。
SAMEORIGIN:页面可以在相同域名的frmae中展示(常用属性)。
ALLOW-FROM:页面允许从指定页面的frame加载。
如何配置X-frame-options 在Apache中,我们在http.conf的配置文件中添加以下配置即可。
Header always append X-Frame-Options "SAMEORIGIN "
Header always append Frame-Options “SAMEORIGIN”
如果服务器上均已配置属性,但是项目检测的安全报告依然出现响应头缺失的问题,需要考虑到访问时是否经过前置设备,需要在前置设备上也配置上面的语句。
响应头缺少httponly,我们会在tomcat的conf/目录下的context.xml中配置useHttpOnly="true"的属性。