X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

于 2023-09-27 15:06:28 发布
阅读量2.1k 收藏 2
点赞数
文章标签: http 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz1502/article/details/133351971
版权

X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户
认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控
制 。
服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。X-FrameOptions HTTP 响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过
确保其内容中未嵌入其他网站来避免点击劫持攻击。
影响
影响取决于受影响的 Web 应用程序。

nginx修复方式:

#添加头文件
 add_header X-Frame-Options SAMEORIGIN always;
 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" always;

注意:需要添加always,否则有部分通过反向代理到页面的无法被加上

验证:浏览器访问地址,打开调试界面
在这里插入图片描述

oneoenday
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
go-astits:在GO中本地解复用和复用MPEG传输流(.ts)
05-14
这是一个Golang库,用于在GO中本地解复用和复用MPEG传输流(ts)。 警告:该库尚投入生产。 使用风险自负! 安装 要安装该库,请使用以下命令: go get -u github.com/asticode/go-astits/... 在看代码之前... 传输流由数据包组成。 每个数据包都有一个报头,一个可选的适配字段和一个有效负载。 可以将几个有效负载附加并解析为数据。 TRANSPORT STREAM +--------------------------------------------------------------------------------------------------+ |
hyperx-Hyper的类型化报头模块,经过扩展和改进-Rust开发
05-27
hyperx Hyper是Rust的底层HTTP实现。 Hyperx是对hyper 0.11类型的标头模块的提取,具有最小的依赖关系hyperx Hyper是Rust的HTTP实现。 Hyperx是对Hyper 0.11类型的标头模块的提取,具有最小的相关性,可以继续与放置在其中的hyper 0.12或更高版本一起使用。 最受支持的锈版本MSRV:= 1.39.0该板条箱将在任何较的锈上快速失效(通过build.rs版本检查),并且也在此版本上进行了CI测试。 许可证MIT许可证(LICENSE或http://opensource.org/licenses/MIT)
记录一个等保二的项目的漏洞处理
Admans的专栏
07-07 1576
Clickjacking是一种恶意技术,它诱骗 Web 用户点击与用户认为他们正在点击的内容不同的东西,从而可能泄露机密信息或控制他们的计算机,同时 点击看似无害的网页。此外,当用于保护传入或传出网站的敏感信息时,TLS 1.0 不被视为 PCI 数据安全标准 3.2(.1) 定义和要求的“强加密”。Visual Studio 使用此标头的值来确定正在使用的 ASP.NET 版本。找到网站根目录下的Web.config文件,用记事本打开,将 debug 属性更改为 false 以禁用该应用程序的调试。
如何配置使用 HTTP 严格传输安全HSTS
刘书的IT博客
10-25 1万+
HTTP 严格传输安全HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debi
Owin.Hsts:用于 Http 严格传输安全 (HSTS) 规范的 OWIN 中间件
07-12
欧文.Hsts 根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web 应用程序通过使用特殊响应标头指定。 一旦受支持的浏览器收到此标头,该浏览器将阻止通过 HTTP 向指定域发送任何通信,而是通过 HTTPS 发送所有通信。 它还可以防止浏览器上的 HTTPS 点击提示。 该规范已于 2012 年底由 IETF 作为 (HTTP 严格传输安全 (HSTS))发布 * 该软件包旨在为开发人员提供以标准化方式有效支持该规范所需的中间件。 要安装包,请在中搜索Owin.Hsts或从包控制台运行以下命令: Install-Package Owin.HSTS 然后打开Startup.cs并添加以下内容: usin
X-Frame-Options缺失漏洞修复-esapi.zip
07-17
X-Frame-Options缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
解决 HTTP 严格传输安全保障问题
dingd1234的博客
12-09 3551
网站HTTPS配置HTTP严格传输安全(HSTS)方法 在检测结果中提到,“开启HSTS后能够提升到A+”,而且在检测结果下方的协议详情中,也提到不支持HTTP严格传输安全(HSTS)。 网站HTTPS配置HTTP严格传输安全(HSTS)方法: 服务器开启 HSTS 的方法是,只需在网站配置文件中添加以下代码即可。 在Nginx中设置HSTS协议: server { add_header Strict-Transport-Security "max-age=63072000; includeSubdoma
web漏洞-缺少X-Frame-Options标头
qq_35578446的博客
06-13 1万+
X-Frame-Options HTTP 响应头丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、图片,该元素下方就是一个iframe标签,当用户点击后上层的元素后,就相当于点击了iframe标签引入的网页页面。......
x-frame-bypass:绕过X帧选项
05-10
X帧绕过绕过x-frame-options
网络安全技术-OSPF基本算法及LSA操作_报头格式_5种包_3张表项.mp3
07-05
网络安全技术-OSPF基本算法及LSA操作_报头格式_5种包_3张表项.mp3
HSTSHTTP 严格传输安全
allway2的博客
09-05 2930
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
热门推荐
青春木鱼的博客
01-16 4万+
使用“thisisunsafe”解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
360网站安全提示"X-Frame-Options设置"怎么解决
QC班长的博客
06-10 2万+
X-Frame-Options 响应头 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
web漏洞修复
q764535104的博客
05-31 2572
开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。注:配置后,统一网站浏览器只要使用过https,下次http的请求就会强转成https,max-age为生效时长,且每次访问都会重新刷新。可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。
Nginx 错误页面无法显示add_header设置的响应头
cybbink的博客
02-24 1403
Nginx 错误页面无法显示add_header设置的响应头 nginx在使用add_header指令设置了返回的请求头后 add_header X-Frame-Options "SAMEORIGIN"; 请求如果返回的是200的状态码,在返回的响应头中会包含设置的值 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Pnt6VnJt-1614156273183)(C:\Users\chenyaobin\AppData\Roaming\Typora\typora-user-im
tomcat解决X-Frame-Options报头丢失
最新发布
12-29
在Tomcat中解决X-Frame-Options报头丢失的方法如下: 1. 打开Tomcat的配置文件`server.xml`,该文件位于Tomcat安装目录的`conf`文件夹下。 2. 在`<Host>`标签内添加以下内容: ```xml <Valve className="org.apache.catalina.valves.HeadersValve" addXFrameOptionsHeader="true" xFrameOptionsHeader="SAMEORIGIN" /> ``` 这将在所有页面上添加X-Frame-Options响应头,并将其值设置为`SAMEORIGIN`。 3. 保存并关闭`server.xml`文件。 4. 重新启动Tomcat服务器。 这样,Tomcat将在所有页面上发送X-Frame-Options响应头,并将其值设置为`SAMEORIGIN`,从而解决X-Frame-Options报头丢失的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值