web.config 设置 X-Frame-Options 的方法

最新推荐文章于 2024-02-19 22:00:00 发布
最新推荐文章于 2024-02-19 22:00:00 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smxdgf/article/details/105595506
版权
本文解决了一个常见的网站安全问题,即X-Content-Type-Options Header缺失导致的资源加载错误。通过正确设置JS文件的内容类型为application/javascript;charset=utf-8,可以避免浏览器因MIME类型不匹配而阻止执行JS文件的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网站检测提示 X-Content-Type-Options Header Missing,在网上找资料发现都是其他的设置方法,没有在这里插入图片描述
在网上找解决办法,都是说添加X-CONTENT-TYPE-OPTIONS to NOSNIFF,而网上资料都是php的解决方法,C#的解决方法很少。
在web.config 配置文件中添加如下响应头

<system.webServer>
  <httpProtocol> 
    <customHeaders>
      <add name="X-Content-Type-Options" value="nosniff"/>
      <add name="X-XSS-Protection" value="1;mode=block"/>
      <add name="X-Frame-Options" value="SAMEORIGIN"/>
           <add name="Content-Security-Policy" value="default-src 'self' i.tianqi.com"/>

    </customHeaders>
  </httpProtocol>
</system.webServer>

We started facing this error in production after our devops team changed the webserver configuration by adding X-Content-Type-Options: nosniff. Now, due to this, browser was forced to interpret the resources as it was mentioned in content-type parameter of response headers.

Now, from the beginning, our application server was explicitly setting content-type of the js files as text/plain. Since, X-Content-Type-Options: nosniff was not set in webserver, browser was automatically interpreting the js files as JavaScript files although the content-type was mentioned as text/plain. This is called as MIME-sniffing. Now, after setting X-Content-Type-Options: nosniff, browser was forced to not do the MIME-sniffing and take the content-type as mentioned in response headers. Due to this, it did interpret js files as plain text files and denied to execute them or blocked them. The same is shown in your errors.

Solution: is to make your server set the content-type of JS files as

application/javascript;charset=utf-8
This way, it will load all JS files normally and issue will get resolved.
在《Hardening your HTTP response headers》文章中,作者讲的更清楚。
参考:https://zp.xz-hc.com/news/show-5207.html
https://stackoverflow.com/questions/40728554/resource-blocked-due-to-mime-type-mismatch-x-content-type-options-nosniff
Hardening your HTTP response headers,https://scotthelme.co.uk/hardening-your-http-response-headers/#x-content-type-options
https://www.ilovefreesoftware.com/09/featured/check-if-x-xss-protection-is-enabled-in-http-header-on-your-website.html

web安全:x-frame-options(防止网页被嵌套)头配置
TivonaLH的博客
01-11 2088
1.写一个过滤器 public class RequestFilter implements Filter { private final static Logger log=Logger.getLogger("RequestFilter"); @Override public void destroy() { // TODO Auto-generated method stub ...
apache服务器配置响应头,Web安全 之 X-Frame-Options响应头配置
weixin_39629129的博客
08-13 3565
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...
配置您的 Web 服务器以包含 X-Frame-Options 标头
weixin_45816407的博客
05-09 3318
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
Web安全 之 X-Frame-Options响应头配置
热门推荐
yangye1225的博客
01-03 2万+
项目检测时,安全报告中存在 “X-Frame-Options” 响应头缺失问题,显示可能会造成跨帧脚本编制攻击,如下:    经过查询发现: X-Frame-Options:值有三个:   (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。   (2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展
X-Frame-Options简介
顺其自然~专栏
09-13 4880
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
跨域请求 web.config文件配置 非简单请求(OPTIONS
run__ning的博客
12-21 1009
跨域请求 web.config文件配置 非简单请求(OPTIONS
网站设置X-Frame-Options 响应头
weixin_34310785的博客
10-09 755
为什么80%的码农都做不了架构师?>>> ...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
在不同服务器环境中,设置X-Frame-Options方法如下: **IIS(Internet Information Services)** - IIS 6:通过HTTP头设置- IIS 7及以上版本:可以编辑Web.config文件,添加以下代码: ```xml <system.web...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
- **IIS**:在Web.config文件的`<httpProtocol>`节点下,增加`<customHeaders>`并设置`<add name="X-Frame-Options" value="SAMEORIGIN" />`。 - **Tomcat**:对于基于Tomcat的Java应用,可以创建一个过滤器,添加`...
web漏洞-点击劫持:X-Frame-Options设置-低危
Amdy_amdy的博客
07-26 2961
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一...
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页...
web漏洞-缺少X-Frame-Options标头
qq_35578446的博客
06-13 1万+
当X-Frame-Options HTTP 响应头丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、图片,该元素下方就是一个iframe标签,当用户点击后上层的元素后,就相当于点击了iframe标签引入的网页页面。......
F5集群配置公共irule,解决X-Frame-Options漏洞及host头漏洞
weixin_34004576的博客
09-25 559
为什么80%的码农都做不了架构师?>>> ...
【已解决】“X-Content-Type-Options”头缺失或不安全
最新发布
ZL_1618的博客
02-19 2720
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
.NET应用程序安全操作概述
寒冰屋的专栏
01-19 1103
此页面旨在为开发人员提供.NET安全提示。 .NET Framework .NET Framework是Microsoft用于企业开发的主要平台。它是ASP.NET,Windows桌面应用程序,Windows Communication Foundation服务,SharePoint,Visual Studio Tools for Office和其他技术的支持API。
网站低危漏洞通过伪静态功能处理方法
wwwwestcn的博客
07-12 276
-检测到目标X-Permitted-Cross-Domain-Policies响应头缺失-->--检测到目标Strict-Transport-Security响应头缺失-->--检测到目标Content-Security-Policy响应头缺失-->--检测到目标X-Content-Type-Options响应头缺失-->--检测到目标X-Download-Options响应头缺失-->--检测到目标X-XSS-Protection响应头缺失-->--点击劫持:X-Frame-Options未配置-->
JAVA-添加HTTP响应头预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2551
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
springboot 设置X-Frame-Options
09-21
在Spring Boot中设置X-Frame-Options可以通过添加适当的配置来完成。可以使用Spring Security来配置X-Frame-Options的值。在Spring Security的配置文件中,可以通过使用`headers().frameOptions().disable()`方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值