html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
漏洞描述:
点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。
攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。也就是说网站内容可能被其他站点引用,可能遭受到点击劫持攻击。
解决方案:
修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种:
1、DENY:不能被嵌入到任何iframe或者frame中。
2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中.换一句话说,如果设置为DENY,不光在别人的网站frame嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套。正常情况下我们通常使用SAMEORIGIN参数。
在服务端设置的方式如下:
Java代码: response.addHeader("x-frame-options","SAMEORIGIN");Nginx配置: add_header X-Frame-Options SAMEORIGIN
Apache配置: Header always append X-Frame-Options SAMEORIGIN
以下为具体配置细节:
apache配置http.conf:
Header always append X-Frame-Options "DENY"
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:
Header always set X-Frame-Options "sameorigin"
要将 Apache 的配置 X-Frame-Options 设置成 deny , 按如下配置去设置你的站点:
Header set X-Frame-Options "deny"
要将 Apache 的配置 X-Frame-Options 设置成 allow-from,在配置里添加:
Header set X-Frame-Options "allow-from https://example.com/"
nginx配置
nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:
add_header X-Frame-Options sameorigin always;
IIS配置:
IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
... ...
HAProxy配置:
HAProxy 发送 X-Frame-Options 头,添加这些到你的前端、监听 listen,或者后端的配置里面:
rspadd X-Frame-Options:\ sameorigin
或者,在更加新的版本中:
http-response set-header X-Frame-Options sameorigin
Express配置:
Express 可以发送 X-Frame-Options header,你可以用借助了 frameguard 来设置头部的 helmet。在你的服务器配置里面添加:
const helmet = require('helmet');const app = express();app.use(helmet.frameguard({ action: "sameorigin" }));
或者,你也可以直接用 frameguard:
const frameguard = require('frameguard')app.use(frameguard({ action: 'sameorigin' }))
加之后通过浏览器观察:
X-Frame-Options(点击劫持)漏洞分析及web配置修复
验证网站是否设置了X-Frame-Options
将如下的代码中iframe中的链接换成待测网站的,保存为.html文件,本地打开。如果打开的页面中显示了待测的网站,则说明没有设置,反之设置了。
X-Frame-Options劫持测试
验证截图,加之后通过浏览器观察:
html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复相关推荐
- X-Frame-Options响应头防点击劫持
文章目录 前言 点击劫持 恶意转账 刷点击量 防护手段 HTTP响应头 实际防护效果 漏洞的检测 HTTP标题 X-XSS-Protection 前言 在一些漏扫设备中经常会扫出一个低风险问题--&q ...
- GUI界面:设置一个和多个Frame窗口
第一个Frame窗口 代码: package com.longge.lesson01;import java.awt.*;//GUI的第一个界面 ALT + 7 打开structure界面 publi ...
- 响应格式html,设置响应格式的HTML邮件
有一个WCF服务在C#中:从继承的类设置响应格式的HTML邮件 [ServiceBehavior(AddressFilterMode = AddressFilterMode.Any, Instance ...
- Flask框架(flask中设置响应信息的方法,返回json数据的方法)
设置响应信息的方法 1. 返回自定义的响应头,有两种方式: (1) 第一种是:视图函数return的时候,使用元组,返回自定义的信息 返回的时候的状态码可以自定义信息:&quo ...
- response设置响应头
通过response设置响应行 设置响应行的状态码 setStatus(int sc) package com.learn.line;import java.io.IOException; impor ...
- Response设置响应数据功能介绍及重定向
目录 一.Response设置响应数据功能介绍 二.Response完成重定向 三.路径问题 一.Response设置响应数据功能介绍 响应数据分为3部分: 1.响应行:HTTP/1.1 200 OK ...
- 获取、设置响应头、设置缓冲区
获取请求头 获取请求头使用HttpServletRequest对象的getHeader().getHeaders().getHeaderNames().getIntHeader().getDateHe ...
- Response设置响应数据,重定向,目录问题,字节流,字符流
响应数据分为3部分: 1:响应行 HTTP/1.1 200 OK void setStatus(int sc) 设置响应状态码 2响应头 Content-type :text/html vo ...
- 设置响应对象的编码格式
设置响应对象的编码格式 爬虫爬取到的数据乱码? 方式一:在发送请求完获取响应对象response对象后,需要对response对象设置编码格式 response.encoding = response ...
最新文章
- java调用指定浏览器_Java调用浏览器打开网页完整实例
- python中split函数_python strip()函数和Split函数的用法总结
- DuiVision开发教程(19)-菜单
- 如何在docker中运行MySQL实例(转载)
- 《机器学习》二刷超详细笔记| 第一章 绪论
- HDOJ_ACM_统计问题
- mysql cmd定时_windows下定时执行mysql冷备份
- 操作系统的起源与发展历程
- 用C#制作PDF文件全攻略
- 论文阅读 [TPAMI-2022] Deep Visual Odometry With Adaptive Memory
- CAD:excel 批量画矩形
- Itext导出pdf教程
- CentOS防火墙开启masquerade后即开启包转发功能
- java异常之-Caused by: java.lang.IllegalStateException: Method has too many Body parameters
- android自定义涂鸦,Android Studio:小Demo-“涂鸦”
- Keil AC5/Keil AC6/IAR指定数据绝对存储地址
- 科技感海报大合集,分分钟做出高端海报
- 济南python编程培训机构排名
- 在OpenCV里实现WHT变换1
- ts版axios二次封装