Loading
0

IIS/Nginx/Apache下X-Frame-Options Header未配置漏洞解决方法

技术小学生微信公众号
腾讯云服务器大促销。
华为服务器
前言:经常有相关部门检测某网站提示有漏洞需要修复,比如检测出现 “X-Frame-Options Header未配置”的漏洞,该漏洞其实算不上漏洞,X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。
修复方法:
如下是IIS及apache及nginx 三种常见的web服务修复方法;
1、IIS下修复方法:
IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:(若web.config有其他代码,请注意添加到合理位置

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="sameorigin" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

2、Apache修复方法:
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:(一般只需要填写如下即可,)

Header always set X-Frame-Options "sameorigin"

若要设置为deny或 allow-from 可参考如下方法
要将 Apache 的配置 X-Frame-Options 设置成 deny , 按如下配置去设置你的站点:

Header set X-Frame-Options "deny"

要将 Apache 的配置 X-Frame-Options 设置成 allow-from,在配置里添加:

Header set X-Frame-Options "allow-from https://example.com/"

3、Nginx修复方法:
nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options sameorigin always;

技术小学生微信公众号
华为服务器
腾讯云服务器大促销。

声明:站长码字很辛苦啊,转载时请保留本声明及附带文章链接:https://blog.tag.gg/showinfo-2-35927-0.html
亲爱的:若该文章解决了您的问题,可否收藏+评论+分享呢?
上一篇:Windows系统如何修改Hosts文件实现本地解析方法(视频教程)
下一篇:西部数码的云服务器或虚拟主机开启/关闭/重新推送百度云加速方法