1：點擊劫持:無X-Frame-Options頭信息

目前創(chuàng)新互聯(lián)公司已為近1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬主機、網(wǎng)站托管、服務(wù)器托管、企業(yè)網(wǎng)站設(shè)計、定南網(wǎng)站維護等服務(wù)，公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

X-Frame-Options HTTP 響應(yīng)頭，可以指示瀏覽器是否應(yīng)該加載一個 iframe 中的頁面。網(wǎng)站可以通過設(shè)置 X-Frame-Options 阻止站點內(nèi)的頁面被其他頁面嵌入從而防止點擊劫持。
X-Frame-Options 共有三個值：
DENY
任何頁面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
頁面只能被本站頁面嵌入到 iframe 或者 frame 中。
ALLOW-FROM uri
頁面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

1）IIS6服務(wù)器。配置服務(wù)器，使返回報文包括X-Frame-Options。修改IIS配置，http頭，自定義，添加。

2)Apache 配置 X-Frame-Options
在站點配置文件 httpd.conf 中添加如下配置，限制只有站點內(nèi)的頁面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服務(wù)器上有多個站點，只想針對一個站點進行配置，可以修改.htaccess 文件，添加如下內(nèi)容：
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夾下，修改 nginx.conf  ，添加如下內(nèi)容：
add_header X-Frame-Options "SAMEORIGIN";

2. Microsoft IIS目錄枚舉

解決方法： 安裝urlscan，將~符號拒絕掉。DenyUrlSequences 下面添加 ~。

3.Microsoft IIS版本泄漏

解決方法： 安裝urlscan，將header頭server刪掉。

4. general OPTIONS methodis enabled

解決方法： 安裝urlscan，UseAllowVerbs = 0

使用允許模式檢查URL請求，如果設(shè)置為1,所有沒有在[AllowVerbs]節(jié)設(shè)置的請求都被拒絕；如果設(shè)置為0，所有沒有在[DenyVerbs]設(shè)置的URL請求都認為合法；默認為1;。

AllowDotInPath=1

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)頁標題：網(wǎng)站漏洞處理-創(chuàng)新互聯(lián)
本文地址：http://www.rwnh.cn/article26/csdhjg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、網(wǎng)站營銷、外貿(mào)網(wǎng)站建設(shè)、用戶體驗、靜態(tài)網(wǎng)站、網(wǎng)頁設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)