永久黄网站色视频免费直播,yy6080三理论日本中文,亚洲无码免费在线观看视频,欧美日韩精品一区二区在线播放

Board logo

標(biāo)題: [BUG反饋] X-Frame-Options頭未設(shè)置安全警告解決方法求助 [打印本頁(yè)]
作者: jotian    時(shí)間: 2018-7-26 08:30     標(biāo)題: X-Frame-Options頭未設(shè)置安全警告解決方法求助

我的服務(wù)器下配制的WDCP接網(wǎng)監(jiān)監(jiān)控有漏洞要求整改,其整改內(nèi)容如下:

內(nèi)容:X-Frame-Options頭未設(shè)置
操作方法:攻擊者可以使用一個(gè)透明的、不可見(jiàn)的iframe,覆蓋在目標(biāo)網(wǎng)頁(yè)上,然后誘使用戶(hù)在該網(wǎng)頁(yè)上進(jìn)行操作,此時(shí)用戶(hù)將在不知情的情況下點(diǎn)擊透明的iframe頁(yè)面。通過(guò)調(diào)整iframe頁(yè)面的位置,可以誘使用戶(hù)恰好點(diǎn)擊iframe頁(yè)面的一些功能性按鈕上,導(dǎo)致被劫持。 目標(biāo)服務(wù)器沒(méi)有返回一個(gè)X-Frame-Options頭。 修改web服務(wù)器配置,添加X(jué)-frame-options響應(yīng)頭。賦值有如下三種:(1)DENY:不能被嵌入到任何iframe或frame中。(2)SAMEORIGIN:頁(yè)面只能被本站頁(yè)面嵌入到iframe或者frame中。(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代碼中加入,在PHP中加入:header('X-Frame-Options: deny');
按這個(gè)鏈接的作者方式,不知道我理解是否正確,求助。
http://www.fsowen.com/bbs/viewthread.php?tid=57935&highlight=X-Frame-Options
  1. <VirtualHost *:88>
  2. DocumentRoot /www/web/default
  3. </VirtualHost>
  4. <Directory /www/web/default>
  5.     Options FollowSymLinks
  6.     AllowOverride None
  7.     Order allow,deny
  8.     Allow from all
  9. </Directory>
復(fù)制代碼
按此作者的方法,我下文的修改不知道是否是對(duì)的。
5.X-Frame-Options
在后臺(tái)文件管理  回收站后面 有一個(gè)apche站點(diǎn)設(shè)置  選擇對(duì)應(yīng)站的配置文件 倒數(shù)第2行加入就好
Header always append X-Frame-Options SAMEORIGIN      
每個(gè)需要的站點(diǎn) 設(shè)置后重啟服務(wù)器   
  1. <VirtualHost *:88>
  2. DocumentRoot /www/web/default
  3. </VirtualHost>
  4. <Directory /www/web/default>
  5.     Options FollowSymLinks
  6.     AllowOverride None
  7.     Order allow,deny
  8. Header always append X-Frame-Options SAMEORIGIN   
  9.     Allow from all
  10. </Directory>
復(fù)制代碼




歡迎光臨 WDlinux官方論壇 (http://www.fsowen.com/bbs/) Powered by Discuz! 7.2