【发布时间】:2014-05-12 17:29:17
【问题描述】:
有人知道如何防止 PHP 中的“X-Frame-Options header is not set”漏洞吗?
【问题讨论】:
【发布时间】:2014-05-12 17:29:17
【问题描述】:
这与其说是 PHP 漏洞,不如说是您的 Web 服务器的“未添加”功能。
你当然可以在 header("X-Frame-Options=SAMEORIGIN");进入每个页面...但这不可行,只需阅读下面的内容并将所需的数据添加到您的 HTTPd 配置文件中。
https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
【讨论】:
-
感谢您的帮助 :) 再次运行扫描后我会告诉您结果。
-
我刚刚把你推荐给我的配置添加到了.htaccess中,有必要在php.ini中应用那个配置吗?或者我还会在配置中添加什么以减轻漏洞?
不确定为什么将其归类为漏洞,但您可以控制允许谁构建您的网站:
使用起来最安全:
Header always append X-Frame-Options SAMEORIGIN
在您的 htaccess 中(假设您使用的是 apache),因为它允许您将来自同一站点的内容 iframe(您根本不需要使用框架,但根据我的经验,在处理第三方代码时,您有时查找 iframe)。
【讨论】:
-
感谢您的帮助:)
-
我刚刚把你推荐给我的配置添加到了.htaccess中,有必要在php.ini中应用那个配置吗?或者我还会在配置中添加什么以减轻漏洞?