警察叔叔提示我xiuno论坛有X-Frame-Options漏洞需要补
hirosaki 2021-10-8

刚接到网安的电话,说我的网站有低危漏洞需要整改,还发来一张网站安全评估表,里面有写:

X-Frame-Options Header未配置

漏洞描述:
漏洞类型:配置不当

弱点描述:
X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击。

修复和改进建议:

一般性的建议:
给您的网站添加X-Frame-Options响应头,赋值有如下三种,1、DENY:无论如何不在框架中显示;2、SAMEORIGIN:仅在同源域名下的框架中显示;3、ALLOW-FROM uri:仅在指定域名下的框架中显示。如Apache修改配置文件添加“Header always append X-Frame-Options SAMEORIGIN”;Nginx修改配置文件“add_header X-Frame-Options SAMEORIGIN;”。

——请问各位大佬,我该怎么办?

最新回复 (6)
全部楼主
  • loverf
    2021-10-8 2
    0
    以下是百度的方法,你可以再搜搜。

    在网站根目录下创建一个web.config文件(适用于Windows系统),代码如下:

    <?xml version="1.0" encoding="UTF-8"?>

    <configuration>

        <system.webServer>

     ...

     

     <httpProtocol>

      <customHeaders>

       <add name="X-Frame-Options" value="SAMEORIGIN" />

      </customHeaders>

     </httpProtocol>

     

     ...

    </system.webServer>

    </configuration>

    这样就给网站添加X-frame-options响应头,且赋值为SAMEORIGIN。就设置好了X-Frame-Options头。其实SAMEORIGIN的作用是页面只能被本站页面嵌入到iframe或者frame中。
  • 9716978
    2022-5-14 3
    0
    祝xiunobbs论坛越办越好!!!
  • 一秀十年
    2022-5-17 4
    0
    这个在你帖子最后已经给出了答案呢:如Apache修改配置文件添加“Header always append X-Frame-Options SAMEORIGIN”;Nginx修改配置文件“add_header X-Frame-Options SAMEORIGIN;”。
  • 天无神话 版主
    2022-6-27 5
    0
    这网警这么好
  • tuerxuan
    9月前 6
    0
    顶顶顶顶顶顶顶!!!
  • 牛牛牛
    7月前 7
    0
    祝xiunobbs论坛越办越好!!!
返回