公司的网站开始有了更多的人点击。
所以,老板最近找了一家安全渗透的公司帮忙找找茬。
他们测试的点,主要集合如下:
最后在我的激励端系统中被发现了一个低危漏洞。
点击挟持,这个问题说大肯定不大的,说小,还有可能不太小,万一我们的系统非常多人使用,有一些黑客要误导用户获取用户信息,那么就是赤果果的欺骗了。
解决的方式非常简单,就是“修改web服务器配置,添加X-frame-options响应头。”
参数主要有三个,以下:
X-Frame-Options三个参数:
1、DENY
表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
2、SAMEORIGIN
表示该页面可以在相同域名页面的frame中展示。
3、ALLOW-FROM uri
表示该页面可以在指定来源的frame中展示。
在html里边也可以设置一下,就是添加一个meta属性的http-equiv ,不过这个设置对于防范基本不起作用。