1：點(diǎn)擊劫持:無X-Frame-Options頭信息

成都創(chuàng)新互聯(lián)始終堅(jiān)持【策劃先行，效果至上】的經(jīng)營理念，通過多達(dá)10年累計(jì)超上千家客戶的網(wǎng)站建設(shè)總結(jié)了一套系統(tǒng)有效的營銷推廣解決方案，現(xiàn)已廣泛運(yùn)用于各行各業(yè)的客戶，其中包括：茶藝設(shè)計(jì)等企業(yè)，備受客戶表揚(yáng)。

X-Frame-Options HTTP 響應(yīng)頭，可以指示瀏覽器是否應(yīng)該加載一個 iframe 中的頁面。網(wǎng)站可以通過設(shè)置 X-Frame-Options 阻止站點(diǎn)內(nèi)的頁面被其他頁面嵌入從而防止點(diǎn)擊劫持。
X-Frame-Options 共有三個值：
DENY
任何頁面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
頁面只能被本站頁面嵌入到 iframe 或者 frame 中。
ALLOW-FROM  uri
頁面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

1）IIS6服務(wù)器。配置服務(wù)器，使返回報文包括X-Frame-Options。修改IIS配置，http頭，自定義，添加。

2)Apache 配置 X-Frame-Options
在站點(diǎn)配置文件 httpd.conf 中添加如下配置，限制只有站點(diǎn)內(nèi)的頁面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服務(wù)器上有多個站點(diǎn)，只想針對一個站點(diǎn)進(jìn)行配置，可以修改.htaccess 文件，添加如下內(nèi)容：
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夾下，修改 nginx.conf   ，添加如下內(nèi)容：
add_header X-Frame-Options "SAMEORIGIN";

2.Microsoft IIS目錄枚舉

解決方法： 安裝urlscan，將~符號拒絕掉。DenyUrlSequences 下面添加 ~。

3.Microsoft IIS版本泄漏

解決方法： 安裝urlscan，將header頭server刪掉。

4. general OPTIONS methodis enabled

解決方法： 安裝urlscan，UseAllowVerbs = 0

使用允許模式檢查URL請求，如果設(shè)置為1,所有沒有在[AllowVerbs]節(jié)設(shè)置的請求都被拒絕；如果設(shè)置為0，所有沒有在[DenyVerbs]設(shè)置的URL請求都認(rèn)為合法；默認(rèn)為1;。

AllowDotInPath=1

文章標(biāo)題：網(wǎng)站漏洞處理
文章URL：http://sd-ha.com/article46/jjsohg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營銷型網(wǎng)站建設(shè)、網(wǎng)站策劃、品牌網(wǎng)站建設(shè)、python、網(wǎng)站改版、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)