X-Frame-Options头未设置安全警告解决方法求助
我的服务器下配制的WDCP接网监监控有漏洞要求整改,其整改内容如下:内容:X-Frame-Options头未设置
操作方法:攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 目标服务器没有返回一个X-Frame-Options头。 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:(1)DENY:不能被嵌入到任何iframe或frame中。(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在PHP中加入:header('X-Frame-Options: deny');
[size=6][color=Red]按这个链接的作者方式,不知道我理解是否正确,求助。[/color][/size]
[url=https://www.wdlinux.cn/bbs/viewthread.php?tid=57935&highlight=X-Frame-Options]https://www.wdlinux.cn/bbs/viewthread.php?tid=57935&highlight=X-Frame-Options[/url][code]<VirtualHost *:88>
DocumentRoot /www/web/default
</VirtualHost>
<Directory /www/web/default>
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
[/code]按此作者的方法,我下文的修改不知道是否是对的。
[quote]5.X-Frame-Options
在后台文件管理 回收站后面 有一个apche站点设置 选择对应站的配置文件 倒数第2行加入就好
Header always append X-Frame-Options SAMEORIGIN
每个需要的站点 设置后重启服务器 [/quote][code]<VirtualHost *:88>
DocumentRoot /www/web/default
</VirtualHost>
<Directory /www/web/default>
Options FollowSymLinks
AllowOverride None
Order allow,deny
Header always append X-Frame-Options SAMEORIGIN
Allow from all
</Directory>
[/code]
页:
[1]