1:点击劫持:无X-Frame-Options头信息
成都创新互联始终坚持【策划先行,效果至上】的经营理念,通过多达10年累计超上千家客户的网站建设总结了一套系统有效的营销推广解决方案,现已广泛运用于各行各业的客户,其中包括:茶艺设计等企业,备受客户表扬。
X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。
X-Frame-Options 共有三个值:
DENY
任何页面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
页面只能被本站页面嵌入到 iframe 或者 frame 中。
ALLOW-FROM uri
页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。
1)IIS6服务器。配置服务器,使返回报文包括X-Frame-Options。修改IIS配置,http头,自定义,添加。
2)Apache 配置 X-Frame-Options
在站点配置文件 httpd.conf 中添加如下配置,限制只有站点内的页面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服务器上有多个站点,只想针对一个站点进行配置,可以修改.htaccess 文件,添加如下内容:
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夹下,修改 nginx.conf ,添加如下内容:
add_header X-Frame-Options "SAMEORIGIN";
2.Microsoft IIS目录枚举
解决方法: 安装urlscan,将~符号拒绝掉。DenyUrlSequences 下面添加 ~。
3.Microsoft IIS版本泄漏
解决方法: 安装urlscan,将header头server删掉。
4. general OPTIONS methodis enabled
解决方法: 安装urlscan,UseAllowVerbs = 0
使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;。
AllowDotInPath=1
