X-Frame-Options Header Not Set漏洞解决

最新推荐文章于 2024-05-03 15:00:00 发布
最新推荐文章于 2024-05-03 15:00:00 发布
阅读量7.2k 收藏 5
点赞数
分类专栏: java 文章标签: 漏洞解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssrswk9/article/details/99993206
版权

这是用OWASP ZAP漏扫软件扫出来的漏洞,漏洞提示响应头没有设置。通过过滤器设置响应头,扫描的时候还是存在漏洞。仔细排查,在tomcat 9服务器的conf目录下,web.xml文件中,加入一段过滤代码,解决问题。

在Java中增加过滤器的代码如下:

HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.addHeader("X-Frame-Options", "DENY");
chain.doFilter(req, res);

在tomcat 9中的web.xml文件中增加的过滤器配置如下:

<filter>

<filter-name>httpHeaderSecurity</filter-name>

<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

<async-supported>true</async-supported>

<init-param>

<param-name>antiClickJackingEnabled</param-name>

<param-value>true</param-value>

</init-param>

<init-param>

<param-name>antiClickJackingOption</param-name>

<param-value>SAMEORIGIN</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>httpHeaderSecurity</filter-name>

<url-pattern>/*</url-pattern>

<dispatcher>REQUEST</dispatcher>

</filter-mapping>

在web.xml中增加配置需要找到对应的地方,文件中有注释掉的filter

另外,X-Frame-Options有三种可配置值

  1. X-Frame-Options: DENY

  2. X-Frame-Options: SAMEORIGIN

  3. X-Frame-Options: ALLOW-FROM

DENY   表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN      表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri     表示该页面可以在指定来源的 frame 中展示 

根据实际情况来指定配置,通常不会嵌入frame的就用DENY,比如extjs

ssrswk9
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3554
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
weixin_31437695的博客
07-04 3339
漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面...
X-Frame-Options header not set
weixin_34294649的博客
12-05 668
点击劫持header(‘X-Frame-Options:SAMEORIGIN’)当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。 转载于:https://blog.51cto.com/dandanqs/13366...
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
zzz6583zz的博客
05-03 617
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
pageadmin网站X-Frame-Options Header Not Set漏洞修补
smxdgf的博客
04-18 551
近期网站被攻击,利用owasp ZAP扫描后,发现X-Frame-Options Header Not Set漏洞。 配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中: <system.webServer> … … </system.webServer> ...
响应头未设置X-Frame-Options
重露成涓滴
09-11 2164
问题:响应头未设置X-Frame-Options 描述: 由于应用未设置响应头X-Frame-Options,易受到点击劫持攻击。点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的 iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面 的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。例如,攻击者通过flash构造出的点击 劫持,可以控制用户电脑的摄像头。随
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
BURNINTEST--硬件检测工具
05-12
- A printer to run the printer test, set-up as the default printer in Windows. - A CD ROM + 1 Music CD or Data CD to run the CD test. - A CD-RW to run the CD burn test. - A network connection and the ...
php.ini-development
05-08
directive because it is not set or is mistyped, a default value will be used. ; The value can be a string, a number, a PHP constant (e.g. E_ALL or M_PI), one ; of the INI constants (On, Off, True, ...
Bochs - The cross platform IA-32 (x86) emulator
03-14
- re-implemented "options" parameter for additional options of connected devices (currently only used to set the speed reported by device and to specify an alternative redolog file of USB MSD disk ...
EhLib 8.0 Build 8.0.023 Pro Edition FullSource for D7-XE8
01-04
Ability to print/preview page header and page footer where you can specify macros for current page, current date, current time and/or static text. Automatically print/preview multiselected area ...
html 处理 X-Frame-Options header 漏洞
ying890的专栏
10-01 2452
漏洞处理-未设置X-Frame-Options
weixin_42124960的博客
12-26 1246
漏洞名称:iFrame注入风险描述:系统未设置x-frame-options头风险等级:低整改建议:为系统添加x-frame-options头。
低危漏洞:X-Frame-Options Header未配置
热门推荐
daisy_sura的博客
01-23 1万+
漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;,&lt;iframe&gt; 或者 &lt;object&gt;中展现的标记。未配置X-Frame-Options的网站,可能有被点击劫持的风险(内容被嵌到别人的网站中去,并在上面加一个透明层,诱导用户点击) X-Frame-Options可选的参数值有三种: DENY S...
安全头响应头(二)​X-Frame-Options
wzj_110的博客
07-06 3914
Sources源形式。
java 处理 X-Frame-Options header 漏洞
ying890的专栏
10-01 2080
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse res = (HttpServletResponse)response;
ZAP安全扫描漏洞X-Frame-Options Header
weixin_41634235的博客
07-08 464
X-Frame-Options Header Not Set 在jsp界面添加response.addHeader(“X-Frame-Options”,“SAMEORIGIN”); 或者添加拦截器Filter(tomcat or jettty),在web.xml设置过滤条件。 通过设置该响应头避免网站在客户端被劫持。 X-Content-Type-Options Header Missing 和 Cookie No HttpOnly Flag 同上设置响应头 response.addHeader.
X-Frame-Options 响应头配置避免点击劫持攻击
追梦猪的博客
10-08 698
服务器未设置X-Frame-Options响应头,易受到点击劫持攻击设置X-Frame-Options响应头它有三个可选的值:DENY SAMEORIGIN ALLOW-FROMorigin当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SA...
你的网站安全吗?ZAP应用实例
科华在线
06-23 1055
按照清华大学出版社出版的新书《软件测试实战教程》第8章安全性测试,测试了一个Web应用,发现了5种问题。如图所示: 对每一种问题进行了分析,并提出了解决方案。解决问题后,再用ZAP扫描,已经没有这些问题了。 X-Frame-Options Header Not Set X-Frame-Options HTTP 响应头未设置 说明:HTTP响应中不包含X-Frame-Options头,以...
Header always set X-Frame-Options SAMEORIGIN含义
12-20
Header always set X-Frame-Options SAMEORIGIN的含义是将X-Frame-Options协议头设置为SAMEORIGIN。这意味着该页面只能在相同的域名下的框架中加载,而不能在其他域名下的框架中加载。 这个设置可以防止点击劫持...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值