电脑乐园提供网站建设,服务器,域名等互联网资讯服务

返回首页 微信
微信
手机版
手机版

设置 X-Frame-Options为 SAMEORIGIN

2018-08-21 新闻来源:电脑乐园 围观:16429
电脑广告
手机广告

昨天一个客户发了一份名称为“某某网MatriXayWeb应用安全评估报告”给我,叫我处理里面提到的几个漏洞,其中一个低微漏洞叫“X-Frame-Options Header未配置”

如果是自己的服务器,可以在运行环境里面配置

IIS设置的方法如下:

打开iis服务器,找到相应的网站,双击iis配置里面的“HTTP响应标头”,进入HTTP相应标头设置页面。

进入HTTP相应标头设置页面后,点击右边操作里面的“添加”。

在新窗口中设置HTTP响应头,名称设置为X-Frame-Options,值设置为SAMEORIGIN,然后点击确认。

这样就设置好了X-Frame-Options头。其值为SAMEORIGIN,意思是页面只能被本站页面嵌入到iframe或者frame中。这样就解决了X-Frame-Options头未设置的漏洞。


windows虚拟主机设置的方法:

可以在web.config里配置(该文件在网站的主目录里,如果没有该文件可以自己创建一个)用文本编辑器打开web.config,添加代码
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
  
	  <httpProtocol>
	   <customHeaders>
	     <add name="X-Frame-Options" value="SAMEORIGIN" />
	   </customHeaders>
	 </httpProtocol>


    <httpErrors>
    </httpErrors>
  </system.webServer>
</configuration>

如果是在Apache或Nginx环境中,方法如下:


配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

Header always append X-Frame-Options SAMEORIGIN


配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

add_header X-Frame-Options SAMEORIGIN;


文章底部电脑广告
手机广告位-内容正文底部

相关文章

  • 阿里云ECS非预期宕机恢复后数据盘不见了
    阿里云ECS非预期宕机恢复后数据盘不见了

    今天凌晨,收到阿里云的宕机通知,过一会又通知恢复了,所以没有在意。到了早上打开网站发现无法访问了。赶紧远程登陆服务器吓了我一跳,只有一个C盘了。数据盘哪里去了,赶紧致电阿里云说明了问题,然后在服务器管...

    2020-01-19
  • mysql启动失败
    mysql启动失败

    今天远程登陆服务器,发现数据盘几乎满了,一定又是日志文件占用了空间,于是打开mysql数据库的data目录,发现了mysql-bin.000001,mysql-bin.000002,mysql-bin...

    2018-08-29
  • 解决“不能确定应用到此机器的组策略安全性设置”
    解决“不能确定应用到此机器的组策略安全性设置”

    最近服务器重新装了系统,根据阿里云的建议进行加固系统,操作到本地策略的审核策略时出现了如下图片的问题“不能确定应用到此机器的组策略安全性设置。在尝试从本地安全策略数据库(%windir% securi...

    2018-08-19
  • Dede做的站再次被黑
    Dede做的站再次被黑

    凌晨5点多,阿里云给我发了一封邮件,提示网站发现后门(Webshell)文件,想都不用想,肯定是DEDE做的那个网站。早上登陆阿里云果然如我所料,赶紧登陆服务器查看发现上图的那些东东。Dede真是够了...

    2018-08-18
  • 盗版的系统比正版的稳定?
    盗版的系统比正版的稳定?

    现在手上有5台阿里云服务器,其中有一台从上线到现在从来没出过问题,一直安全稳定的运行着。这台服务器之前是装了一个镜像市场的一个系统,系统打过补丁后就变成盗版的了,一直都没去理它。它也不给我惹事。反而其...

    2018-08-11
  • 服务器宽带被占用导致网站无法打开
    服务器宽带被占用导致网站无法打开

    这两天服务器遇到了严重的问题,远程连接一直出现系统错误,重启服务器后偶尔可以远程连接进去,发现奇卡无比,带宽被跑满了。阿里云后台监视图:服务器上的资源监视器:占用最多宽带的竟然是system进程,搞得...

    2018-08-09
  • dede webshell事件阴魂不散
    dede webshell事件阴魂不散

    dede真的不让我省心,当初选择用dede建站现在肠子都悔青了。可能是我太菜了怎么也做不好dede的安全,隔三差五都出现webshell,打算换一个cms重新做了。...

    2018-07-23
  • dedecms无节操的webshell后门
    dedecms无节操的webshell后门

    之前帮某单位用的dedecms做的网站,最近被某黑阔getshell了. 阿里云隔天就给我报警打开查看代码都是:document.write(“<?php echo ‘ded...

    2018-07-05
  • 怎样让你的dedecms更安全?
    怎样让你的dedecms更安全?

    一、安全删除篇:织梦的功能模块是很多的,对于一般企业而言,简单的文档发布就够用了,删除一些不用的模块是做好安全的第一步。可以删除的模块如下,请各位朋友按照需求删除。尤其是plus目录的一些文件,未用到...

    2018-06-16