问:2. 3.2X-Frame-Options Header未配置序号
URL
方法
存在隐患的参数
1
http://www.hzchaoxiang.cn/
GET
http://www.hzchaoxiang.cn/
漏洞描述:
X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击。
修复建议:
给您的网站添加X-Frame-Options响应头,赋值有如下三种,1、DENY:无论如何不在框架中显示;2、SAMEORIGIN:仅在同源域名下的框架中显示;3、ALLOW-FROM uri:仅在指定域名下的框架中显示。如Apache修改配置文件添加“Header always append X-Frame-Options SAMEORIGIN”;Nginx修改配置文件“add_header X-Frame-Options SAMEORIGIN;”。
答:您好,1、查看到您反馈的漏洞,现在已经为您设置,请在观察。
2、建议您清除本地浏览器缓存,关闭、重启浏览器再访问。
非常感谢您长期对我司的支持!
问:
这个漏洞怎么修复?
答:您好,header 加了X-Frame-Options SAMEORIGIN
php设置了session.use_only_cookies = 1
再观察,非常感谢您长期对我司的支持!
问:这些是你们设置还是要我设置的?
答:您好,我们已经帮您设置了,非常感谢您长期对我司的支持!
