设置 X-Frame-Options为 SAMEORIGIN

原创 jingccj  2018-08-21 10:56:30  阅读 229 次 评论 0 条

昨天一个客户发了一份名称为“某某网MatriXayWeb应用安全评估报告”给我,叫我处理里面提到的几个漏洞,其中一个低微漏洞叫“X-Frame-Options Header未配置”

如果是自己的服务器,可以在运行环境里面配置

IIS设置的方法如下:

打开iis服务器,找到相应的网站,双击iis配置里面的“HTTP响应标头”,进入HTTP相应标头设置页面。

进入HTTP相应标头设置页面后,点击右边操作里面的“添加”。

在新窗口中设置HTTP响应头,名称设置为X-Frame-Options,值设置为SAMEORIGIN,然后点击确认。

这样就设置好了X-Frame-Options头。其值为SAMEORIGIN,意思是页面只能被本站页面嵌入到iframe或者frame中。这样就解决了X-Frame-Options头未设置的漏洞。


windows虚拟主机设置的方法:

可以在web.config里配置(该文件在网站的主目录里,如果没有该文件可以自己创建一个)用文本编辑器打开web.config,添加代码
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
  
	  <httpProtocol>
	   <customHeaders>
	     <add name="X-Frame-Options" value="SAMEORIGIN" />
	   </customHeaders>
	 </httpProtocol>


    <httpErrors>
    </httpErrors>
  </system.webServer>
</configuration>

如果是在Apache或Nginx环境中,方法如下:


配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

Header always append X-Frame-Options SAMEORIGIN


配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

add_header X-Frame-Options SAMEORIGIN;


本文地址:http://www.dnly.net/post/39.html
版权声明:本文为原创文章,版权归 jingccj 所有,欢迎分享本文,转载请保留出处!

发表评论


表情

还没有留言,还不快点抢沙发?