网站漏洞之:点击劫持:X-Frame-Options未配置

描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

解决方案: 配置X-Frame-Options属性为 iframe页面的地址只能为同源域名下的页面。

修改方法: webconfig中增加

  <system.webServer>

    <httpProtocol>

      <customHeaders>

        <add name="X-Frame-Options" value="SAMEORIGIN" />

      </customHeaders>

    </httpProtocol>

  </system.webServer>。

转载请说明出处:第六感博客 原文链接:

相关阅读:

网站漏洞之:possible .net error message

网站漏洞之:检测到目标web应用表单密码类型输入启用了自动完成操作

网站漏洞之:IIS短文件名泄露漏洞

网站漏洞之:检测到会话cookie中缺少HttpOnly属性