X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

最新推荐文章于 2025-06-25 01:28:42 发布
最新推荐文章于 2025-06-25 01:28:42 发布
阅读量419 收藏 4
点赞数 3
CC 4.0 BY-SA版权
文章标签: http 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dzqxwzoe/article/details/138021274
本文讲述了X-Frame-Options和HTTPStrictTransportSecurity在防止点击劫持攻击中的重要性,介绍了nginx的修复方法,并给出了一个网络安全从零基础到进阶的学习计划,包括282G资料包的领取链接和学习内容概要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户
认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控
制 。
服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。X-FrameOptions HTTP
响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过
确保其内容中未嵌入其他网站来避免点击劫持攻击。
影响
影响取决于受影响的 Web 应用程序。

nginx修复方式:

#添加头文件
 add_header X-Frame-Options SAMEORIGIN always;
 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" always;

注意:需要添加always,否则有部分通过反向代理到页面的无法被加上

验证:浏览器访问地址,打开调试界面
在这里插入图片描述

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

X-Frame-Options缺失漏洞修复-esapi.zip
07-17
X-Frame-Options缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 881
网络安全入门笔记(共327页),助你步入安全门槛
web漏洞-缺少X-Frame-Options标头
踢足球的程序员的博客
08-09 2831
头可以帮助你保护你的网站免受点击劫持攻击。同时,还可以结合其他安全措施,比如 Content Security Policy(CSP),来进一步提高你的网站的安全性。
漏洞修复——点击劫持X-Frame-Options响应头缺失
后端开发
07-11 2419
X-Frame-Options响应头缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 1434
但是有一些资源的类型是定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
HTTP安全:后端漏洞扫描重点
最新发布
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-25 737
本文旨在帮助开发者安全工程师理解HTTP头在Web应用安全中的关键作用,掌握如何通过正确配置HTTP头来防御常见Web攻击,以及在后端漏洞扫描中如何识别修复HTTP头相关的安全问题。介绍HTTP安全的核心概念分析常见安全头及其防护原理提供后端漏洞扫描中的HTTP头检查重点展示实际配置示例代码实现探讨来发展趋势挑战HTTP(HTTP Headers):客户端服务器之间交换的元数据,用于控制请求响应的行为安全(Security Headers)
HTTP Security 安全头配置
蜜獾互联网
01-07 962
内容安全策略(CSP)常用来通过指定允许加载哪些资源来防止跨站脚本攻击。在接下来所介绍的所有安全头信息中,CSP可能是创建维护花费时间最多的而且也是最容易出问题的。在配置你的网站CSP过程中,要小心彻底地测试它,因为阻止某些资源有可能会破坏你的网站的功能。
最全 HTTP 安全响应头设置指南
weixin_30293079的博客
07-23 1748
销售“安全记分卡”的公司正在崛起,并已开始成为企业销售的一个因素。这些公司组合使用 HTTP 安全报头 IP 信誉来进行评级。不过,在很大程度上,公司的得分取决于对外开放网站上设置的安全响应报头。本文介绍了常用的安全响应报头及对应的推荐安全值,并给出了示例。 销售“安全记分卡”的公司正在崛起,并已开始成为企业销售的一个因素。我从客户那里了解到,他们对从评级的供应商那里的采购很不放心...
密码技术--证书及go语言生成自签证书
Innocence_0的博客
12-26 906
证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。go语言生成自签证书文件(ECDSA)go语言生成自签证书文件(RSA)
有什么 python 在线网站推荐?
隔壁王叔的博客
04-07 4657
有什么 python 在线网站推荐?
X-Frame-Options响应头缺失漏洞
m0_47005349的博客
05-31 1164
mozilla firefox官方文档: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat)
weixin_33895016的博客
02-27 1611
发现项目中存在X-Frame-Options 漏洞: 使用 X-Frame-OptionsEDIT X-Frame-Options 有三个值: DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。ALLOW-FROMuri表示该页面可以在指定来源的 frame 中展示。 ...
渗透测试成长篇-点击劫持漏洞
m0_51186260的博客
08-26 6460
1.前言 点击劫持就是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。(一般能被劫持就是网站缺少X-FRAME-OPTIONS) ************ 点击劫持一般在渗透测试中比较常见 2.过程 如何测试,有两种方法,今天就讲一种最简单常用的方式(bur.
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 1755
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
springboot jetty 配置X-Frame-Options 报头缺失
06-08
Spring Boot中使用Jetty作为Web容器时,配置X-Frame-Options HTTP头是为了防止网页被嵌入到其他网站(跨站嵌入,Clickjacking)的安全措施。默认情况下,如果你没有在Spring Boot应用的配置中显式设置这个头部,可能是因为Jetty的默认安全策略没有包含这一项。 要为Spring Boot应用配置X-Frame-Options,你需要在Spring Boot的`application.properties`或`application.yml`文件中添加相关的配置,或者直接在Java代码中进行配置。具体步骤如下: 1. **在`application.properties`中**: ```properties server.servlet.context-path=/ # 如果你的应用运行在根路径,不需此项 server.jetty.xframeoptions.enabled=true server.jetty.xframeoptions.value=SAMEORIGIN # 可选值有SAMEORIGIN, SAMEsite,或DENY ``` 2. **在`application.yml`中**: ```yaml server: servlet: context-path: / jetty: x-frame-options: enabled: true value: SAMEORIGIN ``` 3. **在Java代码中动态配置**: ```java @Configuration public class WebSecurityConfig { @Bean public ServerCustomizer jettyServerCustomizer() { return (server -> { server.setHandler(new HandlerWrapper() { @Override protected void doHandle(ServletRequest request, ServletResponse response, boolean containsError) throws IOException, ServletException { response.setHeader("X-Frame-Options", "SAMEORIGIN"); super.doHandle(request, response, containsError); } }); }); } } ``` 确保你重启应用后,`X-Frame-Options`头应该会被设置并生效。如果问题仍然存在,检查一下是否有其他中间件或配置冲突,或者检查日志以获取更多关于配置执行的详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值