点击劫持漏洞

【问题标题】:Click Jacking Vulnerability点击劫持漏洞
【发布时间】:2017-10-10 00:43:27
【问题描述】:

我需要一些指导,因为我的 apache 网络服务器存在漏洞 Click Jacking。在我读过的所有页面中,我都必须修改 htaccess,但在我的服务器上找不到它,VirtualHost 和 httpd.conf 只包含 cmets 而不是配置,所以我不知道这个文件在哪里,如果它可能没有,或者如果有人可以帮我解决这个问题,谢谢!

【问题讨论】:

  • 如果您有权访问服务器配置,则不需要 .htaccess。 (.htaccess 是每个目录的 Apache 配置文件。您可以根据需要创建它。您可能不需要。)
  • 你从哪里得到这些信息的?我和我的前任提到的观点是一样的。对策是例如X-Frame-Options 标头。或者在较旧的不兼容浏览器中,您可以使用 framekiller。

标签: .htaccess click clickjacking


【解决方案1】:

您可以使用 X-Frame-Options 来防止您的页面被框架加载。这应该可以防止大多数点击劫持攻击。

您可以通过在标题中设置X-Frame-Options: DENY 来做到这一点,或者如果您想在您自己的网站中允许框架,您可以将其设置为X-Frame-Options: SAMEORIGIN。如果您想将网站列入白名单,try X-Frame-Options: ALLOW-FROM https://example.com/

【讨论】:

  • 好了,现在我明白了,我不必触摸全局配置文件,我只需要触摸站点每个网页的每个 Header,对吧?
  • @LorenzoSalazar 虽然“全局配置文件”显然是这样做的地方。
  • 感谢所有 ;)
  • @LorenzoSalazar 如果这解决了您的问题,您能否将此答案标记为正确?只需单击选票下方的小箭头。谢谢:)
  • 没有解决,还在等别人帮忙,谢谢!
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2014-09-14
  • 1970-01-01
  • 2016-05-11
  • 1970-01-01
  • 1970-01-01
  • 2015-04-16
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode