X-Frame-Options未配置漏洞修复

应用安全 专栏收录该内容
98 篇文章 4 订阅

0x00 背景

X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。

恶意攻击者可以利用漏洞攻击做到:

击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

0x01 修复思路

配置X-Frame-Options HTTP响应头的值

0x02 代码修复

X-Frame-Options 有三个值:

DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。意味着不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。

SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。也就说页面可以在同域名页面的 frame 中嵌套

ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。ALLOW-FROM uri的方式在大多数浏览器里面是无法兼容的,也就是意味着配置是无法生效,没有任何作用的。

0x03 配置参考

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置 nginx

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

add_header X-Frame-Options SAMEORIGIN;## 表示该页面可以在相同域名页面的 frame 中展示

#add_header X-Frame-Options "ALLOW-FROM  http://domain.com";

## 表示该页面可以在指定来源的 frame 中展示

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

  <system.webServer>

  ...

  <httpProtocol>

  <customHeaders>

  <add name="X-Frame-Options" value="SAMEORIGIN" />

  </customHeaders>

  </httpProtocol>

  ...

  </system.webServer>

配置 TOMCAT

“点击劫持:X-Frame-Options未配置”

因为项目使用的是tomcat服务器,我们不可能在每个页面去添加:

response.addHeader("x-frame-options","SAMEORIGIN");

因此我们使用过滤器,代码如下:

  HttpServletResponse response = (HttpServletResponse) sResponse;

  response.addHeader("x-frame-options","SAMEORIGIN");

配置 HAProxy

要将HAProxy配置为发送X-Frame-Options标头,请将其添加到前端,侦听或后端配置中:

rspadd X-Frame-Options:\ SAMEORIGIN

或者,在较新的HAproxy版本中配置:

http-response set-header X-Frame-Options SAMEORIGIN

  • 1
    点赞
  • 0
    评论
  • 6
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值