ucbug軟件站:安全、綠色、放心的專業(yè)下載站!首頁(yè)|最近更新|專題集合|標(biāo)簽云|站內(nèi)導(dǎo)航|加入收藏

360網(wǎng)站安全提示"X-Frame-Options頭未設(shè)置"怎么解決

時(shí)間:2017-03-16 12:46:40來(lái)源:ucbug游戲網(wǎng)人氣:0

描述:∵目標(biāo)服務(wù)器沒有返回一個(gè)X-Frame-Options頭?!遆-Frame-Options∵HTTP響應(yīng)頭是用來(lái)確認(rèn)是否瀏覽器可以在frame或iframe標(biāo)簽中渲染一個(gè)頁(yè)面,網(wǎng)站可以用這個(gè)頭來(lái)保證他們的內(nèi)容不會(huì)被嵌入到??...

描述: 目標(biāo)服務(wù)器沒有返回一個(gè)X-Frame-Options頭。

X-Frame-Options HTTP響應(yīng)頭是用來(lái)確認(rèn)是否瀏覽器可以在frame或iframe標(biāo)簽中渲染一個(gè)頁(yè)面,網(wǎng)站可以用這個(gè)頭來(lái)保證他們的內(nèi)容不會(huì)被嵌入到其它網(wǎng)站中,以來(lái)避免點(diǎn)擊劫持。

危害: 攻擊者可以使用一個(gè)透明的、不可見的iframe,覆蓋在目標(biāo)網(wǎng)頁(yè)上,然后誘使用戶在該網(wǎng)頁(yè)上進(jìn)行操作,此時(shí)用戶將在不知情的情況下點(diǎn)擊透明的iframe頁(yè)面。通過(guò)調(diào)整iframe頁(yè)面的位置,可以誘使用戶恰好點(diǎn)擊iframe頁(yè)面的一些功能性按鈕上,導(dǎo)致被劫持。

解決方案:

修改web服務(wù)器配置,添加X-frame-options響應(yīng)頭。賦值有如下三種:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:頁(yè)面只能被本站頁(yè)面嵌入到iframe或者frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

也可在代碼中加入,在PHP中加入:

header('X-Frame-Options: deny');