点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'

最新推荐文章于 2024-03-29 11:55:31 发布
最新推荐文章于 2024-03-29 11:55:31 发布
阅读量4w 收藏 14
点赞数 7
分类专栏: 渗透报告 文章标签: X_Frame_Options 点击劫持:X_Frame_Options头缺失  点击劫持 deny Options' to 'deny
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010403700/article/details/82112917
版权

      最近在一个扯蛋的项目中遇到一堆渗透测试的问题。其中有一个“X-Frame-Options漏洞”问题。我抓耳挠腮的一度不知道怎么解决,最后在我的不屑坚持下.......嘻嘻。愿遇到该BUG的人都能处理掉。我们先看看渗透报告中的东西,以失败而告终。

广告:由于我的博文《docker实现离线地图server》怎么写都搜不到,所以请原谅我这样无耻的推广~~:https://blog.csdn.net/u010403700/article/details/90678645

===================================渗透报告中的内容 START====================================

点 击劫持:X-Frame-Options头缺失(低)

漏洞情况:

漏洞危害:

点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

解决方案(用不了):

Tomcat配置X-Frame-Options

2种方法:

第1种:将ClickjackFilter.jar添加到lib目录下。

(可在OWASP的网站中找到)

<filter>

    <filter-name>ClickjackFilterDeny</filter-name>

    <filter-class>org.owasp.filters.ClickjackFilter</filter-class>

      <init-param>

        <param-name>mode</param-name>

          <param-value>SAMEORIGIN </param-value>

      </init-param>

  </filter>

  <filter-mapping>

    <filter-name>ClickjackFilterDeny</filter-name>

    <url-pattern>/*</url-pattern>

  </filter-mapping>

第2种:打开webapps\ROOT\WEB-INF\web.xml添加以下过滤器:

 <filter>

<filter-name>httpHeaderSecurity</filter-name>

<filter-class>

org.apache.catalina.filters.HttpHeaderSecurityFilter

</filter-class>

<antiClickJackingEnabled>true</antiClickJackingEnabled>

<antiClickJackingOption>SAMEORIGIN</antiClickJackingEnabled>

</filter>

<filter-mapping>

<filter-name>httpHeaderSecurity</filter-name>

<url-pattern>/*</url-pattern>

<dispatcher>REQUEST</dispatcher>

</filter-mapping>

===================================渗透报告中的内容 END====================================

本来看文档就头疼,尼玛,看完还没处理掉。在心里画了一万个圈圈骂他们。报错

实在没招了。回过头来再看看加粗的那部分,原来就是 apache 的 HttpHeaderSecurityFilter类。经过反编译看了看源码

原来初始化 antiClickJackingOption 的值是XFrameOption.DENY。我们希望的是antiClickJackingOption=XFrameOption.SAME_ORIGIN。于是就重新了一个类,将HttpHeaderSecurityFilter中的代码复制进去。就好了

提示:XFrameOptionn 中有三中,DENY  不允许嵌入IFrame、SAME_ORIGIN  运行显示同源iframe、ALLOW_FROM指定地址的iframe

终极解决方案

1.编写CntenHttpHeaderSecurityFilter类

public class CntenHttpHeaderSecurityFilter extends FilterBase{
      private static final Log log = LogFactory.getLog(CntenHttpHeaderSecurityFilter.class);
      private static final String HSTS_HEADER_NAME = "Strict-Transport-Security";
      private boolean hstsEnabled;
      private int hstsMaxAgeSeconds;
      private boolean hstsIncludeSubDomains;
      private String hstsHeaderValue;
      private static final String ANTI_CLICK_JACKING_HEADER_NAME = "X-Frame-Options";
      private boolean antiClickJackingEnabled;
      private XFrameOption antiClickJackingOption;
      private URI antiClickJackingUri;
      private String antiClickJackingHeaderValue;
      private static final String BLOCK_CONTENT_TYPE_SNIFFING_HEADER_NAME = "X-Content-Type-Options";
      private static final String BLOCK_CONTENT_TYPE_SNIFFING_HEADER_VALUE = "nosniff";
      private boolean blockContentTypeSniffingEnabled;

      public CntenHttpHeaderSecurityFilter()
      {
        this.hstsEnabled = true;
        this.hstsMaxAgeSeconds = 0;
        this.hstsIncludeSubDomains = false;

        this.antiClickJackingEnabled = true;
        this.antiClickJackingOption = XFrameOption.ALLOW_FROM;

        this.blockContentTypeSniffingEnabled = true;
      }

      public void init(FilterConfig filterConfig) throws ServletException {
        super.init(filterConfig);

        StringBuilder hstsValue = new StringBuilder("max-age=");
        hstsValue.append(this.hstsMaxAgeSeconds);
        if (this.hstsIncludeSubDomains) {
          hstsValue.append(";includeSubDomains");
        }
        this.hstsHeaderValue = hstsValue.toString();

        StringBuilder cjValue = new StringBuilder(this.antiClickJackingOption.headerValue);
        if (this.antiClickJackingOption == XFrameOption.ALLOW_FROM) {
          cjValue.append(':');
          cjValue.append(this.antiClickJackingUri);
        }
        this.antiClickJackingHeaderValue = cjValue.toString();
      }

      public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException
      {
        if (response.isCommitted()) {
          throw new ServletException(sm.getString("httpHeaderSecurityFilter.committed"));
        }

        if ((this.hstsEnabled) && (request.isSecure()) && ((response instanceof HttpServletResponse))) {
          ((HttpServletResponse)response).setHeader("Strict-Transport-Security", this.hstsHeaderValue);
        }

        if ((this.antiClickJackingEnabled) && ((response instanceof HttpServletResponse))) {
          ((HttpServletResponse)response).setHeader("X-Frame-Options", this.antiClickJackingHeaderValue);
        }

        if ((this.blockContentTypeSniffingEnabled) && ((response instanceof HttpServletResponse))) {
          ((HttpServletResponse)response).setHeader("X-Content-Type-Options", "nosniff");
        }

        chain.doFilter(request, response);
      }

      protected Log getLogger()
      {
        return log;
      }

      protected boolean isConfigProblemFatal()
      {
        return true;
      }

      public boolean isHstsEnabled()
      {
        return this.hstsEnabled;
      }

      public void setHstsEnabled(boolean hstsEnabled)
      {
        this.hstsEnabled = hstsEnabled;
      }

      public int getHstsMaxAgeSeconds()
      {
        return this.hstsMaxAgeSeconds;
      }

      public void setHstsMaxAgeSeconds(int hstsMaxAgeSeconds)
      {
        if (hstsMaxAgeSeconds < 0)
          this.hstsMaxAgeSeconds = 0;
        else
          this.hstsMaxAgeSeconds = hstsMaxAgeSeconds;
      }

      public boolean isHstsIncludeSubDomains()
      {
        return this.hstsIncludeSubDomains;
      }

      public void setHstsIncludeSubDomains(boolean hstsIncludeSubDomains)
      {
        this.hstsIncludeSubDomains = hstsIncludeSubDomains;
      }

      public boolean isAntiClickJackingEnabled()
      {
        return this.antiClickJackingEnabled;
      }

      public void setAntiClickJackingEnabled(boolean antiClickJackingEnabled)
      {
        this.antiClickJackingEnabled = antiClickJackingEnabled;
      }

      public String getAntiClickJackingOption()
      {
        return this.antiClickJackingOption.toString();
      }

      public void setAntiClickJackingOption(String antiClickJackingOption)
      {
        for (XFrameOption option : XFrameOption.values()) {
          if (option.getHeaderValue().equalsIgnoreCase(antiClickJackingOption)) {
            this.antiClickJackingOption = option;
            return;
          }
        }
        throw new IllegalArgumentException(sm.getString("httpHeaderSecurityFilter.clickjack.invalid", new Object[] { antiClickJackingOption }));
      }

      public String getAntiClickJackingUri()
      {
        return this.antiClickJackingUri.toString();
      }

      public boolean isBlockContentTypeSniffingEnabled()
      {
        return this.blockContentTypeSniffingEnabled;
      }

      public void setBlockContentTypeSniffingEnabled(boolean blockContentTypeSniffingEnabled)
      {
        this.blockContentTypeSniffingEnabled = blockContentTypeSniffingEnabled;
      }

      public void setAntiClickJackingUri(String antiClickJackingUri)
      {
          URI uri;
        try
        {
          uri = new URI(antiClickJackingUri);
        }
        catch (URISyntaxException e)
        {
           uri = null;
          throw new IllegalArgumentException(e);
        }
        
        this.antiClickJackingUri = uri;
      }

      private static enum XFrameOption
      {
        DENY("DENY"), 
        SAME_ORIGIN("SAMEORIGIN"), 
        ALLOW_FROM("ALLOW-FROM");

        private final String headerValue;

        private XFrameOption(String headerValue) {
          this.headerValue = headerValue;
        }

        public String getHeaderValue() {
          return this.headerValue;
        }
      }
}

2.在项目中的web.xml文件中添加自定义Filter

<filter> 
        <filter-name>httpHeaderSecurity</filter-name> 
        <filter-class>
            com.hd.platform.devlActions.CntenHttpHeaderSecurityFilter
        </filter-class> 
        <antiClickJackingEnabled>true</antiClickJackingEnabled> 
        <antiClickJackingOption>SAMEORIGIN</antiClickJackingOption> 
    </filter> 
    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping> 

至此问题处理完毕。

相关资源地址:https://download.csdn.net/download/u010403700/10629286

需要探讨微服务、微服务容器化、微服务编排、arcgis for javascript 的问题。可加qq:914423503

陕西赢益园林科技有限公司
关注
  • 7
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
aframe-click-drag-component:Aframe和拖动组件
04-28
寻找维护者 我最近,这意味着我不再有时间来维护这个项目。 请,如果你有兴趣在更新该组件的AFRAME最新版本,合并悬而未决的PR和解决的问题清单 :red_heart: aframe-click-drag-component A 单和拖动组件。 带有click-drag组件的实体可以在3D场景中单并拖动。 甚至在相机移动或旋转时也能正常工作! 大事记 拖动开始 发出以下信息: offset: {x, y, z} -从实体中心到拖动位置的偏移量。 depth -从屏幕的垂直距离来对准实体的同时拖动 clientX鼠标事件的clientX值 clientY鼠标事件的clientY值 拖动 发出以下信息: nextPosition: {x, y, z} -实体的下一个世界位置。 clientX鼠标事件的clientX值 clientY鼠标事件的clientY值 拖曳 发出以下信息: offse
Tomcat 点劫持漏洞修改
灬勿忘丶心安
06-06 2881
修改 tomcat 的点劫持漏洞 一、修改 tomcat 的 web.xml 配置文件 修改web服务器配置,添加X-Frame-Options响应。赋值有如下三种: 1、DENY:不能被嵌入到任何iframe或者frame中 2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中 3、ALLOW-FROM Uri:只能被嵌入到指定域名的框架中 &lt;...
前端iframe嵌入第三方系统时访问报错
踏上征程
03-29 207
nginx配置了 X-Frame-Options,最简单的方法就是注释掉这一行或者将SAMEORIGIN改为AllowAll,但是毕竟有安全隐患。建议在nginx注释掉X-Frame-Options ,使用Content-Security-Policy来指定域名和相关的子域名有权镶嵌。
HTTP请求Header分析
coach
01-27 3070
客户端HTTP请求的Header信息 1、HTTP请求方式 GET 向Web服务器请求一个文件 POST 向Web服务器发送数据让Web服务器进行处理 PUT 向Web服务器发送数据并存储在Web服务器内部 HEAD 检查一个对象是否存在 DELETE 从Web服务器上删除一个文件 CONNECT 对通道提供支持 TRACE 跟踪到服务器的路径 O...
tomcat 配置修复X-Frame-Options 漏洞方法
小菜鸟的博客
04-12 1973
给您的网站添加X-Frame-Options响应,赋值有如下三种: DENY:无论如何不在框架中显示; SAMEORIGIN:仅在同源域名下的框架中显示; ALLOW-FROM uri:仅在指定域名下的框架中显示。 具体配置:在tomcat/conf/web.xml中配置下面代码: web.xml搜索httpHeaderSecurity,首先放开httpHeaderSecurity的注释 然后添加部分语句,下面是完整配置: <filter> <filter-na..
IFrame安全问题解决办法(跨框架脚本(XFS)漏洞)
包磊磊的博客
04-15 1509
最近项目要交付了,对方安全测试的时候检测出高危险漏洞,由于刚参加工作不久,经验不足,未涉及过此方面的东西。经过一番查询和探索,最终解决了这个问题,记录一下。 发现的漏洞为缺少跨框架脚本保护。跨框架脚本(XFS)漏洞使攻者能够在恶意页面的 HTMLiframe 标记内加载易受攻的应用程序。攻者可以使用 此漏洞设计点劫持,以实施钓鱼式攻、框架探查攻、社会工程攻或跨...
in a frame because it set 'X-Frame-Options' to 'deny'.
是卿卿
03-01 1万+
该问题是做文件导出的时候遇到的。 1.在前端加 &lt;security:http auto-config="true" use-expressions="true"&gt; &lt;security:headers&gt; &lt;security:frame-options policy="SAMEORIGIN"/&gt; &lt;/security:hea
Refused to display ‘http://...‘ in a frame because it setX-Frame-Options‘ to ‘deny‘.解决方式
热门推荐
kejizhentan的博客
02-06 2万+
在使用springsecurity时候经常会出现Refused to display ‘http://localhost:9999/admin/toAdminWelcome’ in a frame because it setX-Frame-Options’ to ‘deny’.错误,只需要做以下设置即可: http.headers().frameOptions().sameOrigin(); 有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP部中的X-Frame-O.
Django:六、使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it setX-Frame-Options‘ to ‘deny‘.
浩栋的博客
09-21 5082
使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set 'X-Frame-Options' to 'deny'.
Tomcat部署iframe出现Refused to display ‘url‘ in a frame because it setX-Frame-Options‘ to ‘deny‘无法访问问题
Java开发,人工智能,边缘计算,致力于掌握前沿技术
04-15 5655
在Linux下部署帆软报表项目的时候,使用Tomcat服务器独立部署,部署完成之后发现iframe嵌入的页面无法打开访问,报错Refused to display ‘url’ in a frame because it setX-Frame-Options’ to 'deny’ 使用iframe嵌入网页,浏览器报错:Refused to display ‘url’ in a frame because it setX-Frame-Options’ to ‘deny’。 这是SpringSecur
Django开发“ 'X-Frame-Options' to 'deny'“报错处理
ora_dy的博客
03-20 3797
在Django开发过程中出现报错 Refused to display 'http://127.0.0.1:8000/index/welcome.html' in a frame because it set 'X-Frame-Options' to 'deny'. 由于借用的是开源模板,百度查询到的问题是frame架构中间人攻的相关bug,但是全是Java的解决方案。找了好久,在谷歌上找到...
X-Frame-Options相关文件
08-27
劫持X-Frame-Options缺失 in a frame because it set 'X-Frame-Options' to 'deny'
koa-xframe:适用于Koa的X-Frame-Options HTTP响应标实用程序
04-30
:light_bulb: 该中间件是为 v2.xx设计的,并使用来...// default settings -> set X-Frame-Options to 'DENY'app . use ( xFrame ( ) ) ;// custom settings// -> set X-Frame-Options to 'DENY'app . use ( xFrame (
framebusting:一个简单的演示,展示了如何使用“X-Frame-Options”来帮助防止点劫持
06-08
帧破坏一个简单的演示,展示了如何使用X-Frame-Options来帮助防止点劫持。安装使用npm install安装 framebusting 使用node index.js 3001启动良好的服务器使用node index.js 3002启动坏服务器浏览到然后浏览到。...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
01-10
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点劫持。 危害: 攻者可以使用一个透明的、不可见...
MoniAst:MoniAst-Asterisk实时监控呼叫,座席,队列
05-13
莫尼斯特 MoniAst-为您的代理商进行实时监控。 特征: 实时监控座席和中继线状态 实时监控队列 监听当前通话(间谍) 提示音(耳语) 要求 可以在Node.js可以运行的几乎所有平台上运行(Windows,Mac,Linux...deny
python学习导航.txt
05-06
python
node-v8.3.0-linux-s390x.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
嵌入式微处理器设计及应用
05-06
摘要:为满足智能家居座椅的交互式运动控制需求,基于AT89S52设计了嵌入式座椅运动控制系统。使用VB.net设计了游戏手柄按键读取软件,并在此基础上设计了座椅运动控制软件,软件可分别在“手柄模式”和“鼠标模式”下与嵌入式座椅运动控制器通信,进而控制座椅进行加速、减速、正转和反转等运动;构建了控制系统实验装置,实验结果表明,“鼠标模式”下,通过鼠标点控制软件上功能按钮可实现对座椅的准确运动控制;“手柄模式”下,游戏手柄不仅可控制座椅运动,还可同步控制电脑上运行的游戏或远程遥控车,实现浸入感较强的座椅运动娱乐应用。
Refused to display xxx in a frame because it set X-Frame-Options to deny
07-27
X-Frame-Options是一个HTTP响应,用于指示浏览器是否允许将页面嵌入到frame、iframe或object中展示。当一个页面设置了X-Frame-Options为deny时,浏览器会拒绝在frame中展示该页面,即使是在相同域名的页面中也不允许。\[2\] 这个设置可以用来防止点劫持,即将一个网站的内容嵌入到另一个恶意网站中,以欺骗用户进行操作。\[3\] 如果你遇到了"Refused to display xxx in a frame because it set X-Frame-Options to deny"的错误,说明该页面设置了X-Frame-Options为deny,所以无法在frame中展示。这是一种安全措施,以保护网站的内容不被恶意利用。\[1\] 在开发中,你可以通过设置响应X-Frame-Options值来解决这个问题。例如,可以将X-Frame-Options设置为SAMEORIGIN,这样页面就可以在同域名页面的frame中嵌套展示。\[2\] #### 引用[.reference_title] - *1* [Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'deny'.](https://blog.csdn.net/Absorbed66c/article/details/100914969)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [解决 Refused to display in a frame because it set 'X-Frame-Options' to 'deny'.问题](https://blog.csdn.net/lizy928/article/details/82535089)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值