发现项目中存在 X-Frame-Options 低危漏洞:
@Z"QA!OK~c (�\5�<GCW- 使用 X-Frame-OptionsEDIT
{�'��cs![U X-Frame-Options 有三个值:
��&�1\u#LU y�TMGIS�X5 DENY
%a%+!�wX0x 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
?etj.\q�6 SAMEORIGIN
2}W��6{�T' 表示该页面可以在相同域名页面的 frame 中展示。
n=<q3}1Jej ALLOW-FROM uri
oW`�� *F�D 表示该页面可以在指定来源的 frame 中展示。
PDa0�6(t7 !YuON6�{) ^�+Y�GSg7� 换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。
��av$\@4I Xl�gz.j7XR 另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。
��B%?|b�r� dRa��r�N�W $tx�WVjR?\ }sm5�6}��_ p�5D3J[?N� �Y?q*hS0!H 配置 Apache
9fk\Ay1P� 配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:
5�#A1u
Nb H�E�W9YC" Header always append X-Frame-Options SAMEORIGIN
%)!�~t�8To �)y
[[S��e T��P�mZ/c^ 配置 nginx
�}<x�!�95 配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:
lQ(BEv"2G[ "=0�l�cb�C add_header X-Frame-Options SAMEORIGIN;
E6d8z=X�( Yi!�� >�8� F<'l'As�C- 配置 IIS
�J�b-QP'$@ 配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
%��A Du[M. 8�f`b=r(a> 复制代码
P+c��Fp7nC <system.webServer>
n�fPl#]ef* ...
38.J:?�Q�� ��as47eZ0\ <httpProtocol>
��1VM�5W!} <customHeaders>
&+��|�4(d1 <add name="X-Frame-Options" value="SAMEORIGIN" />
FZI 4?YD?< </customHeaders>
�K*i1! "w� </httpProtocol>
#�YMp�,i� |@9I5Eg)iE ...
~�;�4k UJD </system.webServer>
>+L�gJo R� 复制代码
3�B|-xq;]I ��8q�LgB
� |MR?8A^��" 配置 TOMCAT
])l�[tVHm� “点击劫持:X-Frame-Options未配置”
3�jVm[c5%] 5�K-)X9�z? 因为项目使用的是tomcat服务器,我们不可能在每个页面去添加:
wef^o"aP�� ���d*(\'6? _C�s}&Bic_ 6�(^9D_�"@ response.addHeader("x-frame-options","SAMEORIGIN");
lH>�XIEj�� :P�1c>:j[� �=eLb"7C#0 3�pH�`�]m2 ��<5}du9�@ 因此我们使用过滤器,代码如下:
���(:x�"p{ gQDK?�a�QX iRtDZoiD' ][1u:V/
U HttpServletResponse response = (HttpServletResponse) sResponse;
-�y.�AJ~�T response.addHeader("x-frame-options","SAMEORIGIN");
