从品牌网站建设到网络营销策划,从策略到执行的一站式服务
1:点击劫持:无X-Frame-Options头信息
成都创新互联始终坚持【策划先行,效果至上】的经营理念,通过多达10年累计超上千家客户的网站建设总结了一套系统有效的营销推广解决方案,现已广泛运用于各行各业的客户,其中包括:茶艺设计等企业,备受客户表扬。
X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。
X-Frame-Options 共有三个值:
DENY
任何页面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
页面只能被本站页面嵌入到 iframe 或者 frame 中。
ALLOW-FROM uri
页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。
1)IIS6服务器。配置服务器,使返回报文包括X-Frame-Options。修改IIS配置,http头,自定义,添加。
2)Apache 配置 X-Frame-Options
在站点配置文件 httpd.conf 中添加如下配置,限制只有站点内的页面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服务器上有多个站点,只想针对一个站点进行配置,可以修改.htaccess 文件,添加如下内容:
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夹下,修改 nginx.conf ,添加如下内容:
add_header X-Frame-Options "SAMEORIGIN";
2.Microsoft IIS目录枚举
解决方法: 安装urlscan,将~符号拒绝掉。DenyUrlSequences 下面添加 ~。
3.Microsoft IIS版本泄漏
解决方法: 安装urlscan,将header头server删掉。
4. general OPTIONS methodis enabled
解决方法: 安装urlscan,UseAllowVerbs = 0
使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;。
AllowDotInPath=1
成都网站建设公司地址:成都市青羊区太升南路288号锦天国际A座10层 建设咨询028-86922220
成都快上网科技有限公司-四川网站建设设计公司 | 蜀ICP备19037934号 Copyright 2020,ALL Rights Reserved cdkjz.cn | 成都网站建设 | © Copyright 2020版权所有.
专家团队为您提供成都网站建设,成都网站设计,成都品牌网站设计,成都营销型网站制作等服务,成都建网站就找快上网! | 成都网站建设哪家好? | 网站建设地图