最近安全检测有遇到点击劫持:X-Frame-Options未配置,这个危险漏洞;这让我想起我曾经写过的一篇博客
同源策略
就是利用这个原理的;
同源策略
在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的
这里不谈原理,原理就是利用同源策略机制进行攻击的,同<img>
<src>
还有jsonp类似;
这里谈谈如何使用;
X-Frame-Options有三个值:
1.DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
2.SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
3.ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。
方案一:
前端页面中使用:
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="X-Frame-Options" content="SAMEORIGIN / DENY ">
<title> X-Frame-Options </title>
</head>
方案二:
方案一中前端页面太多,也不可能在每一个页面加;那么我们可以在后端使用过滤器设置请求头
package com.sinosoft.fis.util;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
/**
*
* 1.Cookie 设置 httpOnly属性 Cookie
* 2.设置 httpOnly属性防止js读取cookie
*
*
* @author zsl
*/
public class CookieHttpOnlyFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
if (!(request instanceof HttpServletRequest)) {
chain.doFilter(request, response);
return;
}
HttpServletRequest httpReq = (HttpServletRequest) request;
HttpServletResponse httpResp = (HttpServletResponse) response;
Cookie[] cookies = httpReq.getCookies();
if (cookies != null) {
Cookie cookie = cookies[0];
if (cookie != null) {
HttpSession session = httpReq.getSession();
if (session != null) {
String sessionId = session.getId();
// http设置
httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId + "; Path=/fis; HttpOnly");
httpResp.addHeader("x-frame-options","DENY");
// httpResp.addHeader("x-frame-options","SAMEORIGIN");
// https设置
// httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId
// + "; Path=/admin;Secure; HttpOnly");
}
}
}
chain.doFilter(httpReq, httpResp);
}
public void destroy() {
}
public void init(FilterConfig filterConfig) throws ServletException {
}
}
主要的代码部分:
HttpServletResponse response = (HttpServletResponse) sResponse;
response.addHeader("x-frame-options","SAMEORIGIN");
方案三:
配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>
方案四:
配置 nginx
配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:
<span style="font-size:14px;">add_header X-Frame-Options SAMEORIGIN;</span>
方案五:
配置 Apache
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:
如果是在本地的话,就是在httpd.conf里面配置;如果是linux(ubuntu的话)就是在apache2.conf里面
<span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGIN</span>
关于httpd.conf可以查看这里:
Apache配置文件httpd.conf详解