目标服务器没有返回一个X-Frame-Options头。

攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

添加X-frame-options响应头。

赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

我用的是拦截器

import javax.servlet.*;
import java.io.IOException;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;/*** 拦截器-配置响应头部 X-Frame-Options* @author potato* @date 2021/9/8 11:04*/
@WebFilter(filterName = "frameFilter", urlPatterns = "/*")
public class FrameConfig implements Filter {public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {//必须HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) res;//实际设置response.setHeader("X-Frame-Options", "SAMEORIGIN");
//        response.setHeader("X-Frame-Options", "DENY");//调用下一个过滤器(这是过滤器工作原理,不用动)chain.doFilter(request, response);}public void init(FilterConfig config) throws ServletException {}public void destroy() {}
}

http响应头中X-Frame-Options的作用及危害相关推荐

  1. 取出响应头中包含多个set-cookie的值

    //得到响应头中返回的所有信息,以key-value的形式保存 Map<String, List<String>> heads = httpURLConnection.getH ...

  2. nginx/tengine设置响应头中的cookie属性

    修改cookie属性: 版本一: header_filter_by_lua 'local cookies = ngx.header.set_cookieif cookies thenif type(c ...

  3. 响应头中content-type常用的类型有哪些?

    响应头中content-type常用的类型有哪些? (记住) 1.文本类型 text/plain 2.html类型 text/html 3.css类型 text/css 4.js类型 applicat ...

  4. http请求头中Referer的含义和作用

    http请求头中Referer的含义和作用 别人写好了,链接过去看看吧,出门左转. 记得房号不迷路 02房 01房 三人行必有我师焉,其实两人行也有我师焉--

  5. 理解http响应头中的Date和Age

    Date:Date头域表示消息发送的时间,时间的描述格式由rfc822定义.例如,Date: Mon, 04 Jul 2011 05:53:36 GMT. Age:当代理服务器用自己缓存的实体去响应请 ...

  6. php accesscontrolalloworigin,php – Access-Control-Allow-Origin没有显示在codeigniter的响应头中...

    我的Codeigniter文件说 $CI->output->set_header("Access-Control-Allow-Origin: *"); $CI-> ...

  7. java 标注 json_java – 注释资源以生成JSON,但在响应头中返回“text/plain”

    嗯,你指的链接说只有REQUESTS才是真的. 因此,您只能接受纯文本,但可以随意生成您想要的内容. 编辑尝试使用类似的代码注册自定义responsefilter(也许你已经做过了吗?): @Prov ...

  8. 怎么隐藏响应头中的server和X-Powered-By?

    根据自己的服务器来解决回答这个问题: 去除server中的详细信息: apache: 找到你的配置文件http.conf 找到下面两个参数后按照下面修改: ServerSignature Off Se ...

  9. SpringBoot2.3 修改响应头、添加更新token、解决在过滤器中修改失败

    前言 使用Spring Boot开发项目的过程中,难免会遇到向响应头中写入一些信息,例如更新了的token,用户详情等信息.在请求头中添加,请求时就可以通过过滤器,拦截器等验证或者获得请求头传递的信息 ...

最新文章

  1. 随机查询N条记录MySQL、SQLServer、Oracle、postgreSQL
  2. Laravel框架学习 -- php artisan down/up
  3. 【干货】Linux 网卡绑定的相关知识和技巧
  4. 蚂蚁金服与阿里云宣布启动“蚂云计划”
  5. SAP 电商云 Spartacus UI 点了 Shipping Method 之后的执行逻辑
  6. iphone按钮圆角的问题
  7. LGTM,XGBOOST,LIGHTGBM
  8. apple watch怎么改铃声
  9. 开发中的技术选型调研总结
  10. 嵌入式开发基本环境搭建---ubuntu
  11. python opencv 分类白天与夜景视频
  12. 右键新增文件/文件夹-打开方式
  13. lab值意义_色差仪lab值含义是什么?
  14. 求的带权图最小生成树的Prim算法和Kruskal算法
  15. pands 画图 调整大小_保安10年苦练画图终成大神,用电脑自带的画图软件创作出惊人作品...
  16. 腾讯云安全隐私计算通过 CFCA 评测,再获国家级认可
  17. 基于互联网+的智能机器人管家
  18. 陈天桥, 我这五年忍住不做动作
  19. 中国NTP服务器地址
  20. MATLAB 二值图像中的白色变为彩色

热门文章

  1. python cv2 轮廓的包络 面积_Python + Opencv2 实现轮廓提取,轮廓区域面积计算
  2. Astro Panel Pro for Mac - ps天文景观插件 支持ps2021
  3. Mac电脑如何输入command(⌘)、option(⌥)、shift(⇧)等特殊符号
  4. blob没权限 ie_vuerouter 源码和动态路由权限分配
  5. 《信息学奥赛一本通》1283:登山
  6. c语言输出各种图形主函数咋写,C语言图形函数介绍篇
  7. php mysql 连接不上_php连接不上MySQL问题解决办法_PHP教程
  8. C++设计模式-观察者模式
  9. QML笔记-4中方式运行qml文件
  10. C++ opengl 纹理生成