点击劫持漏洞修复

漏洞描述:X-Frame-Options HTTP 响应头, 可以指示浏览器是否应该加载一个 iframe 中的页面。 网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。


修复方式:

Apache:

配置 Apache 发送 X-Frame-Options 响应头,需要把下面这行添加到 “site”的配置中:

Header always append X-Frame-Options SAMEORIGIN


nginx:

配置nginx发送X-Frame-Options响应头,把下面这行添加到“http”,“server”或者“location”的配置中:

add_header X-Frame-Options SAMEORIGIN;


IIS配置:

<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>


^