Thursday, April 1, 2021

Web Application Potentially Vulnerable to Clickjacking (nginx)

在 nginx 配置文件添加:

add_header X-Frame-Options SAMEORIGIN;


三个选项:
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM URI
表示该页面可以在指定来源的 frame 中展示。
 

注: 在网页中设置meta标签是无用的!例如,<meta http-equiv="X-Frame-Options" content="deny"> 是没有效果的。不要使用这种方式。需要在下面的配置实例中配置HTTP Header的方式来进行配置,X-Frame-Options才会起作用。

 

参考:

https://www.imperva.com/learn/application-security/clickjacking/ 

https://www.jianshu.com/p/51cc683402f0

 

at

No comments:

Post a Comment

一些有用的网站

Windows系统安装界面认不到硬盘,加载RST驱动: https://iknow.lenovo.com.cn/detail/419926.html 纯净版Flash: https://gitlab.com/cleanflash/installer/-/releases    ...

  • 关于 Dnsmasq 的配置问题 simple configuration about Dnsmasq
    关于 /etc/dnsmasq.conf 文档 #resolv-file= 用来指定上游 DNS 服务器列表所在文件路径,默认注释掉,意思等同于 resolv-file=/etc/resolv.conf ,这里改为/etc/resolv.dnsmasq.conf se...
  • net-speeder的bpf规则 bpf rules for net-speeder
    net-speeder 的使用方法为 ./net_speeder 网卡名 加速规则 其中加速规则采用 bpf 规则,一般常用下面规则来启动 ./net_speeder venet0 "ip"   ./net_speeder venet0 ...
  • C2960S-48TS-L 升级固件
    1、下载IOS软件并把IOS软件(.tar格式)存放在TFTP服务器 2、执行 archive download-sw /overwrite /reload tftp://192.168.11.38/c2960s-universalk9-tar.152-2.E9.tar  参考:...