网站安全扫描报告提示:X-Frame-Options头未设置,下面青岛网站建设公司青华互联给出其原因及解决方案。
发现时间:2016-06-30
漏洞类型:跨站脚本攻击(XSS)
所属建站程序:其他
所属服务器类型:通用
所属编程语言:其他
描述: 目标服务器没有返回一个X-Frame-Options头。
危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
解决方案:
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
也可在代码中加入,在PHP中加入:
header('X-Frame-Options: deny');
以上就是网站安全扫描报告提示:X-Frame-Options头未设置的解决方案,网络安全无小事,青岛网站建设公司青华互联提示您,一定要及时排查自己的网站,以免被不法分子攻击利用。
扫描二维码手机查看该文章
文章引用:https://www.qinghuahulian.com/news/webzhishi/1289.html
- 上一篇:网站安全响应头缺失和php配置漏洞
- 下一篇:网站服务器mp4视频无法播放的解决方法