最近項目交付后,安全掃描出現(xiàn)了 web類安全掃描發(fā)現(xiàn)1類安全問題,點(diǎn)擊劫持:x-frame-options頭缺失迫肖。
點(diǎn)擊劫持(用戶界面糾正攻擊喊衫、用戶界面糾正攻擊唇撬、用戶界面糾正攻擊)是一種惡意技術(shù)蔗草,它誘使Web用戶點(diǎn)擊與用戶所點(diǎn)擊內(nèi)容不同的內(nèi)容炊汤,從而可能在點(diǎn)擊看似無害的網(wǎng)頁時泄露機(jī)密信息或控制其計算機(jī)。
服務(wù)器沒有返回x-frame-options頭烤宙,這意味著該網(wǎng)站可能面臨點(diǎn)擊劫持攻擊的風(fēng)險遍烦。x-frame-options HTTP響應(yīng)頭可用于指示是否允許瀏覽器呈現(xiàn)框架或iframe中的頁面。網(wǎng)站可以通過確保其內(nèi)容不嵌入其他網(wǎng)站來避免點(diǎn)擊劫持攻擊
修復(fù)方案如下:
修改web服務(wù)器配置躺枕,添加X-frame-options響應(yīng)頭服猪。賦值有如下三種:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:頁面只能被本站頁面嵌入到iframe或者frame中拐云。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中罢猪。
在這里我們選擇使用 SAMEORIGIN :
我們這里項目框架是使用的JFinal 直接在 ProxyHandler 類,對統(tǒng)一返回的消息頭中設(shè)置:
response.setHeader("X-Frame-Options", "SAMEORIGIN");
即可解決該安全問題
