署理加盟 2019全新署理方案 挣钱+省钱左右开弓,独立渠道,丰盛赢利!

您现在的方位: unibet网 > 站长学院 > 域名主机 >

X-Frame-Options头未设置

来历:不知道 发布时刻:2019-03-19热度:我要谈论
发现时刻:2016-06-30 缝隙类型:跨站脚本进犯(XSS) 所属建站程序:其他 所属服务器类型:通用 所属编程言语:其他 描绘: 方针服务器没有回来一个X-Frame-Options头。 损害: 进犯者能够使...

unibet注册unibet淘宝店开业,好礼送不断

发现时刻:2016-06-30

缝隙类型:跨站脚本进犯(XSS)

所属建站程序:其他

所属服务器类型:通用

所属编程言语:其他

描绘: 方针服务器没有回来一个X-Frame-Options头。

损害: 进犯者能够运用一个通明的、不行见的iframe,掩盖在方针网页上,然后诱运用户在该网页上进行操作,此刻用户将在不知情的情况下点击通明的iframe页面。经过调整iframe页面的方位,能够诱运用户刚好点击iframe页面的一些功用性按钮上,导致被劫持。

 

解决方案:

修正web服务器装备,增加X-frame-options呼应头。赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或许frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的结构中。

也可在代码中参加,在PHP中参加:

header('X-Frame-Options: deny');

本文地址:https://www.m88nob1.com/host/1054.html

    责任编辑:unibet网

    宣布谈论

    谈论列表(条)