网站漏洞处理-创新互联

1：点击劫持:无X-Frame-Options头信息

目前创新互联公司已为近1000家的企业提供了网站建设、域名、虚拟主机、网站托管、服务器托管、企业网站设计、定南网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

X-Frame-Options HTTP 响应头，可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。
X-Frame-Options 共有三个值：
DENY
任何页面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
页面只能被本站页面嵌入到 iframe 或者 frame 中。
ALLOW-FROM uri
页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

1）IIS6服务器。配置服务器，使返回报文包括X-Frame-Options。修改IIS配置，http头，自定义，添加。

2)Apache 配置 X-Frame-Options
在站点配置文件 httpd.conf 中添加如下配置，限制只有站点内的页面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服务器上有多个站点，只想针对一个站点进行配置，可以修改.htaccess 文件，添加如下内容：
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夹下，修改 nginx.conf  ，添加如下内容：
add_header X-Frame-Options "SAMEORIGIN";

2. Microsoft IIS目录枚举

解决方法： 安装urlscan，将~符号拒绝掉。DenyUrlSequences 下面添加 ~。

3.Microsoft IIS版本泄漏

解决方法： 安装urlscan，将header头server删掉。

4. general OPTIONS methodis enabled

解决方法： 安装urlscan，UseAllowVerbs = 0

使用允许模式检查URL请求，如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝；如果设置为0，所有没有在[DenyVerbs]设置的URL请求都认为合法；默认为1;。

AllowDotInPath=1

另外有需要云服务器可以了解下创新互联scvps.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

网页标题：网站漏洞处理-创新互联
本文地址：https://www.cdcxhl.com/article26/csdhjg.html

成都网站建设公司_创新互联，为您提供Google、网站营销、外贸网站建设、用户体验、静态网站、网页设计公司

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联