[BUG反馈] X-Frame-Options头未设置安全警告解决方法求助

jotian

我的服务器下配制的WDCP接网监监控有漏洞要求整改，其整改内容如下：

内容：X-Frame-Options头未设置
操作方法：攻击者可以使用一个透明的、不可见的iframe，覆盖在目标网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击iframe页面的一些功能性按钮上，导致被劫持。 目标服务器没有返回一个X-Frame-Options头。 修改web服务器配置，添加X-frame-options响应头。赋值有如下三种：（1）DENY：不能被嵌入到任何iframe或frame中。（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。也可在代码中加入，在PHP中加入：header('X-Frame-Options: deny');
按这个链接的作者方式，不知道我理解是否正确，求助。
https://www.wdlinux.cn/bbs/viewthread.php?tid=57935&highlight=X-Frame-Options

1. <VirtualHost *:88>
   
2. DocumentRoot /www/web/default
   
3. </VirtualHost>
   
4. <Directory /www/web/default>
   
5.     Options FollowSymLinks
   
6.     AllowOverride None
   
7.     Order allow,deny
   
8.     Allow from all
   
9. </Directory>

复制代码

按此作者的方法，我下文的修改不知道是否是对的。

5.X-Frame-Options
在后台文件管理  回收站后面 有一个apche站点设置  选择对应站的配置文件 倒数第2行加入就好
Header always append X-Frame-Options SAMEORIGIN      
每个需要的站点 设置后重启服务器   

1. <VirtualHost *:88>
   
2. DocumentRoot /www/web/default
   
3. </VirtualHost>
   
4. <Directory /www/web/default>
   
5.     Options FollowSymLinks
   
6.     AllowOverride None
   
7.     Order allow,deny
   
8. Header always append X-Frame-Options SAMEORIGIN   
   
9.     Allow from all
   
10. </Directory>

复制代码