安全漏洞 点击劫持:X-Frame-Options未配置

已于 2023-04-08 14:56:54 修改
阅读量2.1k 收藏 5
点赞数
分类专栏: JavaWeb web安全 文章标签: 前端 servlet javascript
于 2020-01-06 01:19:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37432174/article/details/103849683
版权

最近安全检测有遇到点击劫持:X-Frame-Options未配置,这个危险漏洞;这让我想起我曾经写过的一篇博客
同源策略
就是利用这个原理的;

同源策略

在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的

这里不谈原理,原理就是利用同源策略机制进行攻击的,同<img>
<src>还有jsonp类似;
在这里插入图片描述

这里谈谈如何使用;

X-Frame-Options有三个值:
1.DENY

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

2.SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

3.ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

方案一:

前端页面中使用:

<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
<meta http-equiv="X-Frame-Options" content="SAMEORIGIN / DENY "> 
<title> X-Frame-Options </title> 
</head>
方案二:

方案一中前端页面太多,也不可能在每一个页面加;那么我们可以在后端使用过滤器设置请求头

package com.sinosoft.fis.util;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

/**
 * 
 *   1.Cookie 设置 httpOnly属性 Cookie 
 *   2.设置 httpOnly属性防止js读取cookie
 * 
 *
 * @author zsl
 */
public class CookieHttpOnlyFilter implements Filter {

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		if (!(request instanceof HttpServletRequest)) {
			chain.doFilter(request, response);
			return;
		}
		HttpServletRequest httpReq = (HttpServletRequest) request;
		HttpServletResponse httpResp = (HttpServletResponse) response;
		Cookie[] cookies = httpReq.getCookies();
		if (cookies != null) {
			Cookie cookie = cookies[0];
			if (cookie != null) {
				HttpSession session = httpReq.getSession();
				if (session != null) {
					String sessionId = session.getId();
					// http设置
					httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId + "; Path=/fis; HttpOnly");
					httpResp.addHeader("x-frame-options","DENY");
//					httpResp.addHeader("x-frame-options","SAMEORIGIN");
					// https设置
//	                    httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId
//	                            + "; Path=/admin;Secure; HttpOnly");
				}
			}
		}
		chain.doFilter(httpReq, httpResp);

	}

	public void destroy() {
	}

	public void init(FilterConfig filterConfig) throws ServletException {
	}

}

主要的代码部分:

  HttpServletResponse response = (HttpServletResponse) sResponse;
  response.addHeader("x-frame-options","SAMEORIGIN");
方案三:

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>
方案四:

配置 nginx
配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

<span style="font-size:14px;">add_header X-Frame-Options SAMEORIGIN;</span>
方案五:

配置 Apache
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

如果是在本地的话,就是在httpd.conf里面配置;如果是linux(ubuntu的话)就是在apache2.conf里面
<span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGIN</span>

关于httpd.conf可以查看这里:
Apache配置文件httpd.conf详解

偷偷学习被我发现
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3620
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
X-Frame-Options配置
xue08161981的专栏
11-27 369
点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking.
web漏洞-点击劫持:X-Frame-Options设置-低危
Amdy_amdy的博客
07-26 2743
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一...
低危漏洞修复——点击劫持X-Frame-Options响应头缺失
最新发布
后端开发
07-11 636
X-Frame-Options响应头缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
点击劫持:X-Frame-Options 配置
good good study
10-12 2304
Clickjacking(点击劫持)是一种安全漏洞,通常出现在网站配置适当的安全标头时,该漏洞由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。当网站配置X-Frame-Options头时,它可能受到点击劫持攻击的威胁。这意味着攻击者可以在其恶意网站中将目标网站嵌套到iframe中,并引导用户执行经授权的操作,使用户不知情地与目标网站互动。
点击劫持:X-Frame-Options配置
yztezhl的专栏
12-12 2297
X-Frame-Options配置 可以配置的参数有三个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每个页面添加设置: <% response.addHeader("x-frame-options","SAM...
点击劫持:X-Frame-Options配置、nginx配置X-Frame-Options响应头
更多内容查看博客描述。
04-26 2001
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
点击劫持:X-Frame-Options正确配置
linhl_sdysit的博客
12-17 1269
X-Frame-Options正确配置 描述 点击劫持,clickjacking,也被称为UI-覆盖攻击,是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面,执行攻击者预先设定的操作,达到劫持用户操作目的 分析 方案 HTTP协议中定义了响应头X-Frame-Options,该响应头表示是否可以加载一个iframe 中的页面。如果服务器响应头信息中 没有X-Frame-Options或者配置为X-
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
总的来说,理解和正确配置X-Frame-Options头是保障网站安全、防止点击劫持攻击的关键步骤,也是网站管理员必须重视的网络安全实践。通过设置合适的策略,可以有效地防止恶意第三方将你的页面嵌入到他们自己的框架中...
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
在网络安全领域,X-Frame-Options头是一种重要的安全机制,用于防止点击劫持(Clickjacking)攻击。点击劫持是黑客通过透明或半透明的iframe层,诱使用户在不知情的情况下执行恶意操作,例如点击按钮、提交表单等。...
x-frame-bypass:绕过X帧选项
05-10
总之,`X-Frame-Options`是防止点击劫持的重要手段,而“绕过x-frame-options”的主题涉及了安全与调试之间的平衡。开发者应确保在生产环境中正确设置`X-Frame-Options`,而在测试和开发环境中则可能需要灵活处理。...
X-Frame-Option.rar
09-15
在描述中提到的“解决‘Clickjacking: X-Frame-Options header missing’漏洞,亲测可用”,意味着这个压缩包提供了一个解决方案,针对的是服务器设置X-Frame-Options响应头的情况。当此响应头缺失时,网站可能...
点击劫持漏洞案例ppt
01-02
### 点击劫持漏洞详解 #### 一、点击劫持概述 点击劫持(Clickjacking),又称UI-覆盖攻击(UI Redress Attack),是一种常见的网络安全威胁。它最早于2008年由互联网安全专家罗伯特·汉森(Robert Hansen)和...
响应头设置X-Frame-Options
weixin_46356409的博客
01-18 1470
通过设置’X-Frame-Options’响应头,可以防止网页被嵌入到其他网站中,从而提高网站的安全性。网站容易受到点击劫持攻击:如果没有设置’X-Frame-Options’,攻击者可以在其他网站中嵌入恶意代码,诱使用户在不知情的情况下点击网页上的按钮或链接,从而执行恶意操作。网站可能无法在iframe中正常显示:如果没有设置’X-Frame-Options’,浏览器可能会阻止网页被嵌入到其他网站中,导致网页无法在iframe中正常显示。
漏洞处理-设置X-Frame-Options
weixin_42124960的博客
12-26 1390
漏洞名称:iFrame注入风险描述:系统设置x-frame-options头风险等级:低整改建议:为系统添加x-frame-options头。
X-Frame-Options配置漏洞修复
煜铭2011
06-20 2922
0x00 背景 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 0x01
X-FRAME-OPTIONS配置
zhaofuqiangmycomm的博客
02-19 950
其中第5种方式,通过tomcat控制最方便,不过实际配置过程中,版本过低的tomcat会启动不了,建议tomcat版本不要低于7.0.69 .DENY 表示该页面不允许在frame中展示,即便是在同域名页面中嵌套也不允许。ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。每个jsp页面都要写这段,太无语,我只声明我知道这种方式,但绝不会用。(推荐)加了之后就不用管tomcat等容器的事,一劳永逸。
解决X-Frame-Options Header配置漏洞
08-27
要解决X-Frame-Options Header配置漏洞,您可以采取以下步骤: 1. 确定问题:首先,您需要确认您的应用程序是否存在X-Frame-Options Header配置漏洞。您可以使用浏览器开发者工具(如Chrome DevTools)来检查...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

偷偷学习被我发现

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值