發(fā)現(xiàn)時(shí)間：2016-06-30

漏洞類(lèi)型：跨站腳本攻擊（XSS）

所屬建站程序：其他

所屬服務(wù)器類(lèi)型：通用

所屬編程語(yǔ)言：其他

描述： 目標(biāo)服務(wù)器沒(méi)有返回一個(gè)X-Frame-Options頭。

危害： 攻擊者可以使用一個(gè)透明的、不可見(jiàn)的iframe，覆蓋在目標(biāo)網(wǎng)頁(yè)上，然后誘使用戶(hù)在該網(wǎng)頁(yè)上進(jìn)行操作，此時(shí)用戶(hù)將在不知情的情況下點(diǎn)擊透明的iframe頁(yè)面。通過(guò)調(diào)整iframe頁(yè)面的位置，可以誘使用戶(hù)恰好點(diǎn)擊iframe頁(yè)面的一些功能性按鈕上，導(dǎo)致被劫持。

解決方案：

修改web服務(wù)器配置，添加X(jué)-frame-options響應(yīng)頭。賦值有如下三種：

（1）DENY：不能被嵌入到任何iframe或frame中。

（2）SAMEORIGIN：頁(yè)面只能被本站頁(yè)面嵌入到iframe或者frame中。

（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

也可在代碼中加入，在PHP中加入：

header('X-Frame-Options: deny');