Web安全 之 X-Frame-Options响应头配置

最新推荐文章于 2024-05-23 09:39:30 发布
最新推荐文章于 2024-05-23 09:39:30 发布
阅读量1.2k 收藏
点赞数
文章标签: web安全 web.xml 运维

  最近项目处于测试阶段,在安全报告中存在" X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:

  

  X-Frame-Options:

  值有三个:

  (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

  (2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。

  (3)ALLOW-FROM https://example.com/:表示该页面可以在指定来源的 frame 中展示。

 

  配置Apache:

  (如果是在本地的话,就是在httpd.conf里面配置;如果是linux(ubuntu的话)就是在apache2.conf里面),找个空的位置加入这行代码,具体看你是选择哪种

 

<span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGIN</span>  

    有可能会遇到一种情况,就是我在服务端配置完apache之后,尝试 Restart Apache 但是报了一个错误:

Invalid command ‘Header’, perhaps misspelled or defined by a module not included in the server configuration

  header的方法模块没有安装,我们需要先自行安装一下:

  先输入 a2enmod heade ,然后需要重启一下Apache,输入service apache2 restart

  配置Nginx:

  配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

<span style="font-size:14px;">add_header X-Frame-Options SAMEORIGIN;</span>

  配置IIS:

  配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

 

weixin_34362875
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP部中的X-Frame-Options信息,需要的朋友可以参考下
HTTP X-Frame-Options 防止iframe内框架调用
xinjiatao的专栏
12-27 1027
    -Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可...
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
cc123489ll的博客
05-23 1163
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
服务器设置 Header响应(Server、X-Frame-Options、X-Powered-By)
liangpingguo的博客
06-24 3868
一、iis7/8隐藏banner信息 进入在【Internet 信息服务(IIS)管理器】-【HTTP 响应】,添加或删除或修改即可。 隐藏Server版本信息,安装UrlScan,打开%WINDIR%\System32\Inetsrv\URLscan,配置URLScan.ini: RemoveServerHeader=0; 改为RemoveServerHeader=1; 添加X-Frame-Options Header 进入在【Internet 信息服务(IIS)管理器】-【HTTP
HTTP安全响应设置
刘瓜皮Alison的博客
03-11 954
HTTP常用安全响应设置及可防范的攻击类型
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
总的来说,理解和正确配置X-Frame-Options是保障网站安全、防止点击劫持攻击的关键步骤,也是网站管理员必须重视的网络安全实践。通过设置合适的策略,可以有效地防止恶意第三方将你的页面嵌入到他们自己的框架中...
X-Frame-Options相关文件
08-27
Tomcat是流行的Java应用服务器,可能会涉及到Web应用的安全配置,包括设置X-Frame-Options来保护其服务。 3. **CntenHttpHeaderSecurityFilter.java** - 这看起来是一个Java过滤器,可能用于添加或检查HTTP响应...
x-frame-bypass:绕过X帧选项
05-10
在Node.js中,特别是使用Express框架构建的Web应用,可以通过设置响应来控制`X-Frame-Options`。例如: ```javascript const express = require('express'); const app = express(); app.use((req, res, next) =...
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 344
网络安全入门笔记(共327页),助你步入安全门槛
X-Frame-Options响应缺失漏洞
m0_47005349的博客
05-31 1074
mozilla firefox官方文档: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
Tomcat 关于x-frame-options 漏洞配置解决方案
xyz25251325的博客
03-24 1万+
web漏洞检查的时候经常会有  Clickjacking: X-Frame-Options header missing,这个安全漏洞。在tomcat中要想解决这个问题。有多种方式,1:是在代码层面 response.header()设置,值允许同源的 frame加载。2:可以在你的web应用程序中的web.xml配置配置filter该配置如果出现在项目中,则对单个项目有效。如果想对tomca...
X-Frame-Options header missing 漏洞修复
qiaoxu1989的博客
12-28 465
解决办法:在tomcat服务器的conf/web.xml 增加过滤器。
Web安全漏洞 之 X-Frame-Options响应配置
xp_lx12的博客
06-13 4万+
原理】配置http的响应信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
web安全:x-frame-options(防止网页被嵌套)配置
cxws110的博客
06-18 3801
转自:https://blog.csdn.net/TivonaLH/article/details/86307278 1.写一个过滤器 public class RequestFilter implements Filter { private final static Logger log=Logger.getLogger("RequestFilter"); @Ove...
linux web服务器安全配置,linux Web服务器配置安全 怎样添加X-Frame-Options响应
weixin_26938645的博客
04-29 879
修改web服务器配置,添加X-frame-options响应。赋值有如下三种:(1)DENY:不能被嵌入到任何iframeframe中。(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在PHP中加入:header('X-Frame-Options: deny');X-Frame...
360网站安全提示"X-Frame-Options未设置"怎么解决
QC班长的博客
06-10 2万+
X-Frame-Options 响应 X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
tomcat X-Frame-Options响应配置允许在所有来源的frame中展示
07-27
配置Tomcat的X-Frame-Options响应允许在所有来源的frame中展示,你可以按照以下步骤操作: 1. 打开你的Tomcat服务器上的`web.xml`文件,该文件位于Tomcat安装目录下的`conf`文件夹中。 2. 在`web.xml`文件中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值