X-Frame-Options頭未設置

發現時間：2016-06-30

漏洞類型：跨站腳本攻擊（XSS）

所屬建站程序：其他

所屬服務器類型：通用

所屬編程語言：其他

描述： 目標服務器沒有返回一個X-Frame-Options頭。

危害： 攻擊者可以使用一個透明的、不可見的iframe，覆蓋在目標網頁上，然后誘使用戶在該網頁上進行操作，此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置，可以誘使用戶恰好點擊iframe頁面的一些功能性按鈕上，導致被劫持。

解決方案：

修改web服務器配置，添加X-frame-options響應頭。賦值有如下三種：

（1）DENY：不能被嵌入到任何iframe或frame中。

（2）SAMEORIGIN：頁面只能被本站頁面嵌入到iframe或者frame中。

（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

也可在代碼中加入，在PHP中加入：

header('X-Frame-Options: deny');

本文地址：http://www.alolpiu.com.cn/host/1054.html