低危漏洞- X-Frame-Options Header未配置
原文链接:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header
X-Frame-Options 响应头
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
使用 X-Frame-Options
X-Frame-Options 有三个值:
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。
换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。
配置 Apache
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:
Header always append X-Frame-Options SAMEORIGIN
- 1
- 1
配置 nginx
配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:
add_header X-Frame-Options SAMEORIGIN;
- 1
- 1
配置 IIS
配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
<system.webServer>...<httpProtocol><customHeaders><add name="X-Frame-Options" value="SAMEORIGIN" /></customHeaders></httpProtocol>...
</system.webServer>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
结果
在 Firefox 尝试加载 frame 的内容时,如果 X-Frame-Options 响应头设置为禁止访问了,那么 Firefox 会用 about:blank 展现到 frame 中。也许从某种方面来讲的话,展示为错误消息会更好一点。
关于header的配置,这篇文章讲的比较详细,有兴趣的朋友可以去参考下:http://drops.wooyun.org/tips/1166
转载于:https://www.cnblogs.com/shiningrise/p/6625607.html
低危漏洞- X-Frame-Options Header未配置相关推荐
- 完整的渗透测试实战纪实,低危漏洞组合成高危利用!
0x00一份好的报告标题也很重要哦 PS:原谅下图重码,此漏洞还没修复 报告详情 漏洞标题某国内大厂招聘系统测试 漏洞url* 0x01本次渗透流程 我们一步一步来, 首先我们从忘记密码那里开始,这里 ...
- 服务器解决低危漏洞方法
1.允许Traceroute探测 描述:本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息.攻击者也可以利用这些信息来了解目标网络的网络拓扑. 处理: iptables -I IN ...
- 【低危漏洞修复】Tomcat服务器版本号泄露-低危漏洞修复
一.问题描述 二.解决办法 修改配置文件之后 参考资料 你的Tomcat可能并不安全,原因居然是 Tomcat中间件版本信息泄露_普通网友的博客-CSDN博客_tomcat版本信息泄露 Tomcat中 ...
- 漏洞高危 中危 低危的划分标准
漏洞等级采用CVSS 2.0标准的评分原则,对单个漏洞进行基本向量评分.CVSS : Common Vulnerability Scoring System,即"通用漏洞评分系统" ...
- TP5框架低版本漏洞
TP5框架低版本漏洞 漏洞1: 描述:未对控制器名做严格过滤,导致非法用户可以通过将控制器名写为带完整命名空间类的方式来调起系统所有公共类的方法. 代码:\thinkphp\library\think ...
- 利用samba漏洞入侵linux主机(samba低版本漏洞利用)
复现samba漏洞入侵linux主机(samba低版本漏洞利用) Samba是在Linux和UNIX系统上实现,由服务器及客户端程序构成.SMB(Server Messages Block,信息服务块 ...
- 踩坑记15 动态路由 router.options.routes未更新 | vue升级 element-plus未适配vue3.2.x | vite glob导入动态加载组件,不能使用别名alias
2021.8.12 坑50(vue-router4.addRoute().router.options.routes未更新):进行动态权限获取菜单的设置,使用了addRoute()来添加路由,但是ro ...
- 唐筛的准确率这么低为什么还要做_为什么很多孕妈唐筛低危还要做无创DNA?不仅仅是因为准确率的原因...
原标题:为什么很多孕妈唐筛低危还要做无创DNA?不仅仅是因为准确率的原因 文 | 迩文基因科技 (预约香港115项DNA产前检测可咨询EmanJY) 作为一项筛查21三体.18三体以及神经管畸形的产检 ...
- 系统未配置文件服务器是啥意思,系统未配置服务器文件
系统未配置服务器文件 内容精选 换一换 当您的裸金属服务器无法SSH登录时,我们首先建议您通过控制台远程登录.SSH登录失败时,请首先尝试能否通过管理控制台远程登录裸金属服务器.登录管理控制台.选择& ...
- php setcookie httponly,SetCookie 未配置 HttpOnly、Secure
某厂商给别人网站扫描的结果说是有漏洞,其中就有:SetCookie 未配置 HttpOnly.SetCookie 未配置 Secure. 这到底是什么意思呢? SetCookie 是这个厂商认为写 C ...
最新文章
- 关于 线程模型中经常使用的 __sync_fetch_and_add 原子操作的性能
- 提高生产力:文件和IO操作(ApacheCommonsIO-汉化分享)
- ESP8266和MQTT
- redhat7防火墙关闭_Linux7关闭防火墙
- 素性测试的Miller-Rabin算法完全解析 (C语言实现、Python实现)
- 数据科学与python语言——Matplotlib数据可视化基础
- MySQL与MariaDB概述 (二)
- Linux常用命令系列--export
- $con=mysql_connect_php连接mysql mysql_connect()与mysqli_connect()的盲点
- iis 在站点中新建虚拟目录站点之后,虚拟目录中的 web.config 与 主站点中的 web.config冲突解决方案...
- Bashtop – Linux的资源监视工具(亲测)
- 吴恩达深度学习——循环神经网络
- Python代码实现信息轰炸
- 寒武纪科技 服务器芯片,国内首款人工智能服务器诞生!搭载“寒武纪”芯片,走在世界前列...
- 北京大学肖臻老师《区块链技术与应用》ETH笔记 - 3.0 ETH数据结构篇
- 曼谷旅游不可错过的游船体验:游览湄南河,赏两岸风光
- php命令执行后门,php后门木马常用命令
- Android游戏音效实现
- UVA-10074 最大子矩阵 DP
- my.cnf配置文件详解
热门文章
- 第七章、epub文件处理 -- 解析 .xhtml文件 (一)
- Cacti脚本及模板---PING
- mac好用的软件 小总结 Alfred
- Kafka架构及基本原理简析
- 来自Airbnb、Netflix等公司的代码评审最佳实践
- 牛逼!终于有人开源了一份基于SSM框架实现了支付宝支付功能的完整源代码......
- 为什么 Redis 单线程能达到百万+QPS?
- Kotlin 或将取代 Java —— 《Java 编程思想》作者 Bruce Eckel
- 一个创业公司CEO的85条感悟
- 重磅消息:F5收购Nginx!