X-Frame-Options 响应头配置避免点击劫持攻击

最新推荐文章于 2023-08-09 10:10:10 发布
最新推荐文章于 2023-08-09 10:10:10 发布
阅读量690 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38705449/article/details/103525488
版权

服务器未设置X-Frame-Options响应头,易受到点击劫持攻击

设置X-Frame-Options响应头

它有三个可选的值:

DENY
SAMEORIGIN
ALLOW-FROM origin

当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。

在httpd.conf中加入

Header always append X-Frame-Options SAMEORIGIN

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options有三种可配置值X-Frame-Options: DENYX-Frame-Options: SAMEORIGINX-Frame-Options: ALLOW-FROM https://www.zhuimengzhu.com/


DENY


表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN


表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri


表示该页面可以在指定来源的 frame 中展示。
注: 在网页中设置meta标签是无用的!例如,<meta http-equiv="X-Frame-Options" content="deny"> 是没有效果的。不要使用这种方式。需要在下面的配置实例中配置HTTP Header的方式来进行配置,X-Frame-Options才会起作用。

配置实例

配置 Apache

Windows平台是在httpd.conf里面添加下面配置;如果是ubuntu是在/etc/apache2/sites-available下面对应的*.conf文件进行配置

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置Apache X-Frame-Options deny , 需要把下面这行添加到 'site' 的配置中:

Header set X-Frame-Options DENY

配置Apache X-Frame-Options 设置 ALLOW-FROM 为一个指定的主机,需要把下面这行添加到 'site' 的配置中:

Header set X-Frame-Options "ALLOW-FROM https://www.zhuimengzhu.com/"

配置好后,可能重启Apache2失败,原因是没有安装headers模块,进入到

modules目录,可以看到

执行命令:# a2enmod headers 即可安装headers模块,安装后可以在modules目录下看到headers模块可用

安装headers模块成功后,再次执行service apache2 restart即可重新启动apache

配置 nginx

配置 nginx 发送X-Frame-Options响应头,需要把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>...
    <httpProtocol>
        <customHeaders>
            <add name="X-Frame-Options" value="SAMEORIGIN" />
        </customHeaders>
    </httpProtocol>...
</system.webServer>

配置 HAProxy

配置 HAProxy 发送 X-Frame-Options响应头, 添加下面这行到 front-end, listen, or backend 配置中:

rspadd  X-Frame-Options: SAMEORIGIN
追梦猪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【漏洞笔记】X-Frame-Options Header未配置
TeamsSix 的 CSDN 空间
11-19 932
0x00 概述 漏洞名称:X-Frame-Options Header未配置 风险等级:低危 问题类型:管理员设置问题 0x01 漏洞描述 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在 <忽略frame>, <忽略iframe>, <忽略embed> 或者&nbs...
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
koa-xframe:适用于Koa的X-Frame-Options HTTP响应实用程序
04-30
Koa XFrame 用于Koa的 HTTP响应实用程序。 :light_bulb: 该中间件是为 v2.xx设计的,并使用来实现ES5兼容性。 :wrench: 该中间件正在开发中。 反馈/公关受到欢迎和鼓励。 如果您想在这个项目上进行合作,请告诉我。 安装 $ npm install --save koa-xframe 用法和API import Koa from 'koa' ; import xFrame from 'koa-xframe' ; const app = new Koa ( ) ; // default settings -> set X-Frame-Options to 'DENY' app . use ( xFrame ( ) ) ; // custom settings // -> set X-Frame-Options to 'DENY' app . use ( xFrame (
this.$router.push如何刷新当前页面?
erduo2017的博客
10-30 1万+
this.$router.push如何刷新当前页面?vue+element 跳转页面后需要刷新当前页面this.$router.push()跳转后不刷新 vue+element 跳转页面后需要刷新当前页面 当进入 实例生命周期完成后 再次进入跳转页面 实例已缓存,不会再去重新请求数据渲染一次 ,( created mounted 生命周期内的重新请求数据不会再次出发 )这时需要在被访问的页面使用侦听器watch this.$router.push()跳转后不刷新 // An highlighted bloc
关于X-Frame-Options 响应配置避免点击劫持攻击的问题整理
夜阑吹雨的博客
05-11 3909
2018.05.07 客户反映学校网站被扫描到 X-Frame-Options Header未配置漏洞经查询得到的解决方案一:配置 Apache配置 Apache 的httpd.conf 在所有页面上发送 X-Frame-Options 响应,需要把下面这行添加到配置中:Header always append X-Frame-Options SAMEORIGIN配置位置:修改两个服务器,制作...
【转】Tomcat如何配置“X-Frame-Options
happydecai的博客
05-15 6190
【原理】 配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): <% response.addHeader(...
HTTP X-Frame-Options 防止iframe内框架调用
xinjiatao的专栏
12-27 1002
    -Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可...
X-Frame-Options简介
顺其自然~专栏
09-13 3268
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者...
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options缺失 in a frame because it set 'X-Frame-Options' to 'deny'
X-Frame-Options未设置 防止网页被iframe内框架调用
01-20
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见...
配置您的 Web 服务器以包含 X-Frame-Options
weixin_45816407的博客
05-09 2044
X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免点击劫持 (clickjacking) 的攻击
apache设置X-Frame-Options响应
安素
06-28 1万+
服务器未设置X-Frame-Options响应,易受到点击劫持攻击设置X-Frame-Options响应它有三个可选的值:DENYSAMEORIGINALLOW-FROM origin当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。在htt...
web漏洞-缺少X-Frame-Options
weixin_52630329的博客
08-09 2171
可以帮助你保护你的网站免受点击劫持攻击。同时,还可以结合其他安全措施,比如 Content Security Policy(CSP),来进一步提高你的网站的安全性。
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
小小关的博客
06-30 1131
https://blog.csdn.net/ylf20131001/article/details/88550243?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165655115016781432930120%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=165655115016781432930120&biz_id=0&utm_medi
【已解决】Tomcat配置“X-Frame-Options未设置”警告的过滤器(详细)
热门推荐
黑夜的风的博客
11-30 1万+
很久以前,360提示我的网站有"X-Frame-Options未设置的风险。 网上找了很多教程,大多是其他后台语言的教程。tomcat的配置说的很简略(也许是太过简单,大神们不惜讲)。 小白的我捣鼓了下终于弄好了。现分享下: 【原理】配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。
软考-考生常见操作说明-202405101400-纯图版.pdf
最新发布
05-14
软考官网--2024常见操作说明:包括如何绘制网络图、UML图、表格等 模拟作答系统是计算机技术与软件专业技术资格(水平)考试的电子化考试系统界面、作答过程的仿真系统,为各级别、各资格涉及输入和页面显示的部分题型提供体验性练习。
X-Frame-Options响应配置允许在所有来源的frame中展示
07-27
X-Frame-Options响应是一种用于保护网页免受点击劫持攻击的安全机制。通过设置X-Frame-Options响应,网站可以指示浏览器是否允许将网页内容嵌入到<frame>、<iframe>或<object>元素中。 如果你希望允许在所有来源的frame中展示你的网页内容,可以将X-Frame-Options响应配置为"ALLOW-FROM *"或"ALLOWALL"。这样设置后,浏览器就会允许从任意来源嵌入你的网页。 请注意,X-Frame-Options响应配置可能因浏览器而异,某些旧版本的浏览器可能不支持该安全特性。此外,由于点击劫持攻击的风险,建议仅在确保安全性的前提下开启允许所有来源的frame展示。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值