关于X-Frame-Options 响应头配置避免点击劫持攻击的问题整理

最新推荐文章于 2024-04-30 19:00:00 发布
最新推荐文章于 2024-04-30 19:00:00 发布
阅读量3.9k 收藏 1
点赞数
分类专栏: 工作总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2326ice/article/details/80279696
版权
2018.05.07 客户反映学校网站被扫描到   X-Frame-Options Header 未配置漏洞

经查询得到的解决方案一:

配置 Apache
配置 Apache 的httpd.conf 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到配置中:
Header always append X-Frame-Options SAMEORIGIN

配置位置:


修改两个服务器,制作和发布的apache的httpd.conf文件,修改完以后重启apache服务

/opt/sudytech/apache2/bin/apachectl restart

然而,这样配置后,发现了新的问题,客户网站的新闻内容无法显示了,原来客户网站有些内容是嵌套的二级域名网站的内容,然后想到的解决方案二:

Header set X-Frame-Options "ALLOW-FROM http://www.XXXX.edu.cn/" /*该域名填写客户主域名*/

经测试,用该方法可以达到的效果就是客户主网站可以正常访问了,二级域名网站在ie、火狐不能被嵌套,但是在谷歌,360的极速模式是可以被嵌套的,主域名不能被嵌套。

涉及到的概念:

同源及跨域
1.同源策略
什么叫同源?
URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。相反,只要 协议,域名,端口 有任何一个的不同,就被当作是跨域。
 
同源策略  Same-Origin-Policy(SOP)
浏览器 采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本。换句话说浏览器禁止的是来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。
情景:
比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。
 
浏览器中有哪些不受同源限制呢?
<script>、<img>、<iframe>、<link>这些包含 src 属性的标签可以加载跨域资源。但浏览器限制了JavaScript的权限使其不能读、写加载的内容。
 
2.跨域
跨域是指从一个域的网页去请求另一个域的资源。比如从http://www.aaaa.com/  页面去请求 http://www.bbbb.com  的资源。

方案一是限定了同源:只能自己嵌套自己,二级网站也不能嵌套
方案二看似指定了嵌套对象:然而浏览器兼容性问题还是来了,不是所有浏览器都认

参考资料:
 
静和澜漪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3571
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
配置X-frame-options属性,http响应缺少httponly属性
m0_37642477的博客
01-03 1505
首先,我们需要了解为什么要配置X-frame-options配置属性是为了处理点击劫持的漏洞。何为点击劫持点击劫持是一种恶意攻击技术,主要表现在正常的页面上嵌入一个恶意的透明的iframe,当用户想要点击正常页面的链接时,实际上点击的是透明的iframe页面。 X-frame-options 值有三个 DENY:页面中不允许存在iframe,即使是相同域名。 SAMEORIGIN:页面可以在...
X-Frame-Options缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
m0_59598029的博客
04-30 782
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
X-Frame-Options响应点击劫持
道阻且长,行则将至。
02-21 5017
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
响应未设置X-Frame-Options
重露成涓滴
09-11 2164
问题响应未设置X-Frame-Options 描述: 由于应用未设置响应X-Frame-Options,易受到点击劫持攻击点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的 iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面 的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。例如,攻击者通过flash构造出的点击 劫持,可以控制用户电脑的摄像。随
点击劫持:X-Frame-Options配置
good good study
10-12 2078
Clickjacking(点击劫持)是一种安全漏洞,通常出现在网站未配置适当的安全时,该漏洞由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。当网站未配置X-Frame-Options时,它可能受到点击劫持攻击的威胁。这意味着攻击者可以在其恶意网站中将目标网站嵌套到iframe中,并引导用户执行未经授权的操作,使用户不知情地与目标网站互动。
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
确保正确设置X-Frame-Options响应是增强网站安全的重要步骤,能有效防御点击劫持攻击,保护用户数据安全。因此,所有处理敏感信息或希望控制其内容展示方式的网站都应考虑实施这一安全措施。如果你需要更深入的...
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者...
X-Frame-Options相关文件
08-27
综上所述,这个压缩包内容主要关注的是Web应用程序的安全配置,特别是关于防止点击劫持的X-Frame-Options的使用。通过分析和修复描述中提到的问题,可以提高网站的安全性,防止恶意用户利用点击劫持进行攻击。对于...
x-frame-bypass:绕过X帧选项
05-10
在网络安全领域,X-Frame-Options 是一个重要的HTTP响应,用于防止点击劫持(Clickjacking)攻击点击劫持是一种恶意技术,攻击者通过将目标网站嵌入到一个透明或半透明的IFrame中,使用户在不知情的情况下进行...
安全漏洞 点击劫持:X-Frame-Options配置
qq_37432174的博客
01-06 2111
最近安全检测有遇到点击劫持:X-Frame-Options配置,这个危险漏洞;这让我想起我曾经写过的一篇博客 同源策略 就是利用这个原理的; 同源策略 在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的这里不谈原理,原理就是利用同源策略机制进...
apache服务器配置响应,Web安全 之 X-Frame-Options响应配置
weixin_39629129的博客
08-13 3338
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...
web漏洞-缺少X-Frame-Options
qq_35578446的博客
06-13 1万+
当X-Frame-Options HTTP 响应丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、图片,该元素下方就是一个iframe标签,当用户点击后上层的元素后,就相当于点击了iframe标签引入的网页页面。......
记一次fream嵌套跨域问题(X-Frame-Options,SameSite)
qq_41809490的博客
08-12 2508
Refused to display 'http://www.xxx.xxx/xxx/xxx'in a frame because it set 'X-Frame-Options' to 'someorigin'. X-Frame-Options 有三个值:DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。 测.
X-Frame-Options
hjh_cos
10-30 7550
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应是用来给浏览器指示允许一个页面可否在<frame>,<ifr
安全响应(二)​X-Frame-Options
wzj_110的博客
07-06 4026
Sources源形式。
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 4万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
X-Frame-Options响应配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应配置详解
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失
ztnhnr的专栏
11-02 1万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
X-Frame-Options响应配置允许在所有来源的frame中展示
07-27
X-Frame-Options响应是一种用于保护网页免受点击劫持攻击安全机制。通过设置X-Frame-Options响应,网站可以指示浏览器是否允许将网页内容嵌入到<frame>、或元素中。 如果你希望允许在所有来源的frame中展示你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值