Board logo

标题: [BUG反馈] X-Frame-Options头未设置安全警告解决方法求助 [打印本页]
作者: jotian    时间: 2018-7-26 08:30     标题: X-Frame-Options头未设置安全警告解决方法求助

我的服务器下配制的WDCP接网监监控有漏洞要求整改,其整改内容如下:

内容:X-Frame-Options头未设置
操作方法:攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 目标服务器没有返回一个X-Frame-Options头。 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:(1)DENY:不能被嵌入到任何iframe或frame中。(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在PHP中加入:header('X-Frame-Options: deny');
按这个链接的作者方式,不知道我理解是否正确,求助。
https://www.wdlinux.cn/bbs/viewthread.php?tid=57935&highlight=X-Frame-Options
  1. <VirtualHost *:88>
  2. DocumentRoot /www/web/default
  3. </VirtualHost>
  4. <Directory /www/web/default>
  5.     Options FollowSymLinks
  6.     AllowOverride None
  7.     Order allow,deny
  8.     Allow from all
  9. </Directory>
复制代码
按此作者的方法,我下文的修改不知道是否是对的。
5.X-Frame-Options
在后台文件管理  回收站后面 有一个apche站点设置  选择对应站的配置文件 倒数第2行加入就好
Header always append X-Frame-Options SAMEORIGIN      
每个需要的站点 设置后重启服务器   
  1. <VirtualHost *:88>
  2. DocumentRoot /www/web/default
  3. </VirtualHost>
  4. <Directory /www/web/default>
  5.     Options FollowSymLinks
  6.     AllowOverride None
  7.     Order allow,deny
  8. Header always append X-Frame-Options SAMEORIGIN   
  9.     Allow from all
  10. </Directory>
复制代码




欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) Powered by Discuz! 7.2