X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

最新推荐文章于 2025-01-08 14:53:50 发布
最新推荐文章于 2025-01-08 14:53:50 发布
阅读量444 收藏 5
点赞数 3
文章标签: http 安全 网络协议 华为 网络 智能路由器 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cc123489ll/article/details/139342215
版权

X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户
认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控
制 。
服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。X-FrameOptions HTTP
响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过
确保其内容中未嵌入其他网站来避免点击劫持攻击。
影响
影响取决于受影响的 Web 应用程序。

nginx修复方式:

#添加头文件
 add_header X-Frame-Options SAMEORIGIN always;
 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" always;

注意:需要添加always,否则有部分通过反向代理到页面的无法被加上

验证:浏览器访问地址,打开调试界面
在这里插入图片描述

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起&

最低0.47元/天 解锁文章
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 1338
但是有一些资源的类型是定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
X-Frame-Options缺失漏洞修复-esapi.zip
07-17
X-Frame-Options缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
密码技术--证书及go语言生成自签证书
Innocence_0的博客
12-26 879
证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。go语言生成自签证书文件(ECDSA)go语言生成自签证书文件(RSA)
漏洞修复——点击劫持X-Frame-Options响应头缺失
后端开发
07-11 2130
X-Frame-Options响应头缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 800
网络安全入门笔记(共327页),助你步入安全门槛
HTTP 安全头配置:如何配置 HTTP 安全头来保护应用
chaosweet的博客
11-15 1390
安全不是产品,而是一个过程。
HTTP Security 安全头配置
蜜獾互联网
01-07 882
内容安全策略(CSP)常用来通过指定允许加载哪些资源来防止跨站脚本攻击。在接下来所介绍的所有安全头信息中,CSP可能是创建维护花费时间最多的而且也是最容易出问题的。在配置你的网站CSP过程中,要小心彻底地测试它,因为阻止某些资源有可能会破坏你的网站的功能。
最全 HTTP 安全响应头设置指南
weixin_30293079的博客
07-23 1717
销售“安全记分卡”的公司正在崛起,并已开始成为企业销售的一个因素。这些公司组合使用 HTTP 安全报头 IP 信誉来进行评级。不过,在很大程度上,公司的得分取决于对外开放网站上设置的安全响应报头。本文介绍了常用的安全响应报头及对应的推荐安全值,并给出了示例。 销售“安全记分卡”的公司正在崛起,并已开始成为企业销售的一个因素。我从客户那里了解到,他们对从评级的供应商那里的采购很不放心...
有什么 python 在线网站推荐?
隔壁王叔的博客
04-07 4555
有什么 python 在线网站推荐?
web漏洞-缺少X-Frame-Options标头
weixin_52630329的博客
08-09 2781
头可以帮助你保护你的网站免受点击劫持攻击。同时,还可以结合其他安全措施,比如 Content Security Policy(CSP),来进一步提高你的网站安全性。
()X-Frame-Options响应头缺失漏洞
weixin_30607029的博客
01-04 1614
原文:https://blog.youkuaiyun.com/ljl890705/article/details/78071601 x-frame-options响应头缺失漏洞。 故名思意,就是返回的响应头信息中没有包含x-frame-options头信息设置。 x-frame-options头信息的详细介绍可以查看mozilla firefox官方文档https://developer.mozilla...
X-Frame-Options响应头缺失漏洞
m0_47005349的博客
05-31 1150
mozilla firefox官方文档: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat)
weixin_33895016的博客
02-27 1600
发现项目中存在X-Frame-Options 漏洞: 使用 X-Frame-OptionsEDIT X-Frame-Options 有三个值: DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。ALLOW-FROMuri表示该页面可以在指定来源的 frame 中展示。 ...
X-Frame-Options响应头缺失--点击劫持漏洞原理复现
最新发布
lza20001103的博客
01-08 1248
X-Frame-Options响应头缺失--点击劫持漏洞原理复现
springboot jetty 配置X-Frame-Options 报头缺失
06-08
Spring Boot中使用Jetty作为Web容器时,配置X-Frame-Options HTTP头是为了防止网页被嵌入到其他网站(跨站嵌入,Clickjacking)的安全措施。默认情况下,如果你没有在Spring Boot应用的配置中显式设置这个头部,可能是因为Jetty的默认安全策略没有包含这一项。 要为Spring Boot应用配置X-Frame-Options,你需要在Spring Boot的`application.properties`或`application.yml`文件中添加相关的配置,或者直接在Java代码中进行配置。具体步骤如下: 1. **在`application.properties`中**: ```properties server.servlet.context-path=/ # 如果你的应用运行在根路径,不需此项 server.jetty.xframeoptions.enabled=true server.jetty.xframeoptions.value=SAMEORIGIN # 可选值有SAMEORIGIN, SAMEsite,或DENY ``` 2. **在`application.yml`中**: ```yaml server: servlet: context-path: / jetty: x-frame-options: enabled: true value: SAMEORIGIN ``` 3. **在Java代码中动态配置**: ```java @Configuration public class WebSecurityConfig { @Bean public ServerCustomizer jettyServerCustomizer() { return (server -> { server.setHandler(new HandlerWrapper() { @Override protected void doHandle(ServletRequest request, ServletResponse response, boolean containsError) throws IOException, ServletException { response.setHeader("X-Frame-Options", "SAMEORIGIN"); super.doHandle(request, response, containsError); } }); }); } } ``` 确保你重启应用后,`X-Frame-Options`头应该会被设置并生效。如果问题仍然存在,检查一下是否有其他中间件或配置冲突,或者检查日志以获取更多关于配置执行的详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值