一个菜鸟驿站!

360提示网站漏洞X-Frame-Options头未设置

PHP 2018-04-23 浏览(1436) 评论(0)
- N +

文章目录 [+]

最近有人估计是爱上我了吧,频频给我的网站挂个后门啥的,两天一次,最近一天一次,mmp,然后就如下所示,宝宝也是醉了,我一个小站,怼我干嘛。

360提示网站漏洞X-Frame-Options头未设置  Linux PHP Nginx 第1张

X-Frame-Options危害: 攻击者可以使用一个透明的不可见的iframe覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持


然后360也给出了解决方案:


  1. (一)服务器方

      1. A.DENY:不能被嵌套到任何的iframe或frame中。(这个比较不友好,毕竟有时候我是会用的到的,而且这个服务器设置,全部都不能被引入到iframe中)。    

        1. 1.Apache:配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site' 的配置中:

          Header always append X-Frame-Options DENY


        2. 2.Nginx:配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http', ‘server' 或者 ‘location' 的配置中:

          add_header X-Frame-Options DENY;


        3. 3.HAProxy:

          rspadd X-Frame-Options:\ DENY


      2. b.SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。(方法同上)

      3. c.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。(方法同上)

  2. (二)PHP脚本

  3. header('X-Frame-Options: deny');      //同服务器,不能被嵌套到任何iframe或者frame
    header('X-Frame-Options: sameorigin');  // 同服务器,页面只能被本站页面嵌入到iframe或者frame中。
    header('X-Frame-Options: allow-from https://www.lovyou.top');   //只能被嵌入到指定域名的框架中

然后下边给出大家各大浏览器对 X-Frame-Options版本支持吧:

标签:
作者:猫巷

,

上一篇:
下一篇:
评论列表 (0)条评论

发表评论

召唤伊斯特瓦尔