0


X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户
认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控
制 。
服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。X-FrameOptions HTTP 响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过
确保其内容中未嵌入其他网站来避免点击劫持攻击。
影响
影响取决于受影响的 Web 应用程序。

nginx修复方式:

#添加头文件
 add_header X-Frame-Options SAMEORIGIN always;
 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" always; 

注意:需要添加always,否则有部分通过反向代理到页面的无法被加上

验证:浏览器访问地址,打开调试界面
在这里插入图片描述


本文转载自: https://blog.csdn.net/zzz1502/article/details/133351971
版权归原作者 oneoenday 所有, 如有侵权,请联系我们删除。

“X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复”的评论:

还没有评论