java 处理 X-Frame-Options header 漏洞

最新推荐文章于 2024-05-23 09:39:30 发布
最新推荐文章于 2024-05-23 09:39:30 发布
阅读量2k 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ying890/article/details/78146178
版权 
在过滤器里面使用
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException
    {
        HttpServletResponse res = (HttpServletResponse)response;
        chain.doFilter(request, response);
        System.out.println("限制mode============"+mode);
        res.addHeader("X-FRAME-OPTIONS",mode );            
    }


mode的值为:

        DENY:浏览器拒绝当前页面加载任何Frame页面
      SAMEORIGIN:frame页面的地址只能为同源域名下的页面
      ALLOW-FROM:origin为允许frame加载的页面地址


  一般情况使用SAMEORIGIN


ying890
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java xframeoptions_x-frame-options
weixin_42099151的博客
03-01 739
背景在接入内容平台的时候, 内容平台使用iframe来嵌入ugc的帖子详情页, 让用户可以预览帖子详情。 但是帖子详情页不支持iframe的嵌入, 导致出现如下错误: ”star.aliexpress.com 拒绝了我们的连接请求。“ 具体如下:原因这是因为帖子详情页不支持iframe嵌入, 这个主要是因为spring boot默认为了安全, 默认不让网页支持嵌入, 帮助用户对抗点击劫持。解决办法...
X-Frame-Options Header Not Set漏洞解决
ssrswk9的博客
08-21 7286
这是用OWASP ZAP漏扫软件扫出来的漏洞漏洞提示响应头没有设置。通过过滤器设置响应头,扫描的时候还是存在漏洞。仔细排查,在tomcat 9服务器的conf目录下,web.xml文件中,加入一段过滤代码,解决问题。 在Java中增加过滤器的代码如下: HttpServletRequest req = (HttpServletRequest)request; HttpServletRespo...
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
cc123489ll的博客
05-23 1114
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
JAVA年度安全 第九周 X-FRAME-OPTIONS
New World
06-08 8374
Whatis it and why should I care? X-Frame-Options(在草拟的标准中已经移除X-,只保留Frame-Options)是一个新技术用来指定网站页面是否允许嵌入IFrame页面。这样能够解决点击劫持(clickjacking)攻击。 此技术是基于每个页面的HTTP响应头特定参数实现的。支持(X-)Frame-Options头参数的浏览器根据标准会允许或禁
X-Frame-Options简介
zzhongcy的专栏
05-06 4万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
Response.AddHeader("X-Frame-Options", "Deny"); ``` - ASP: ``` <%response.AddHeader "X-Frame-Options","Deny"%> ``` **服务器配置** 在Web服务器层面,也可以全局设置X-Frame-Options。例如,在IIS中,...
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
X-Frame-Options头缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
Java:“目标服务器没有返回一个X-Frame-Options头”的解决方案
IT老兵的驿站
07-29 3753
原帖位于IT老兵博客,沉淀着一个IT老兵对于这个行业的认知。 Java:“目标服务器没有返回一个X-Frame-Options头”的解决方案。 前言 在涉及网站安全时遇到一个问题,“目标服务器没有返回一个X-Frame-Options头”,找了网上的帖子,说的都不是太清楚,所以研究总结一下,方便后人。 正文 问题描述 以下摘录一下对于安全网站这个问题的描述和建议解决方案: ...
两种网页爬虫技术实现跨域(nodejs+java)(解决'X-Frame-Options'问题)
赏樱看雪撸代码
08-08 6045
** 一.方法介绍: **在自己的多次百度方法尝试过程中,主要有两种方法推荐如下 1.使用iframe标签嵌套,然后将iframe的src设置成外网的链接,这样的话就可以把别人的网站加载进来,里面的dom结构和数据什么的都随便你去取(页面中能看到的)。 2.通过nodejs爬虫技术实现(针对那些已经安装nodejs的可以去尝试,不然先安装nodejs) 但是我个人更推荐nodej...
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2482
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
java怎么增加跨帧脚本编制_转载:Web安全 之 X-Frame-Options响应头配置
weixin_42360977的博客
02-27 463
项目检测时,安全报告中存在 “X-Frame-Options” 响应头缺失问题,显示可能会造成跨帧脚本编制攻击,如下:经过查询发现:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exam...
X-Frame-Options响应头防点击劫持
道阻且长,行则将至。
02-21 4898
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
项目集成javamelody页面(‘X-Frame-Options’ to ‘deny’)
haohao_ding的博客
12-11 347
项目集成javamelody页面 springboot项目中整个javamelody监控,前端页面需要嵌入监控页面使用iframe报Refused to display in a frame because it set ‘X-Frame-Options’ to 'deny’的问题 1.通过springboot整合javamelody 向项目中引入依赖即可 <!-- javamelody监控 http://localhost:8080/monitoring--> &lt
HTTP 配置响应头部 X-Frame-Options
qq_36856047的博客
09-09 4779
目标服务器没有返回一个X-Frame-Options头。 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 添加X-frame-options响应头。 赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到ifram
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
Clickjacking: X-Frame-Options header 漏洞修复
03-16
为了修复Clickjacking漏洞,可以使用X-Frame-Options头部来提供保护。X-Frame-Options是一个HTTP响应头部,用于控制网页是否可以在<frame>、或元素中显示。通过设置X-Frame-Options头部,可以限制网页在其他网站的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值