写点什么

点击劫持: 无 X-Frame-Options 头信息(修复)

用户头像
唯爱
关注
发布于: 2020 年 05 月 28 日

1、点击劫持:无X-Frame-Options头信息

解决办法:(1)打开IIS服务器,找到相应的网站,双击iis配置里面的“HTTP响应标头”,进入HTTP相应标头设置页面;



(2)进入HTTP相应标头设置页面后,点击右边操作里面的“添加”;



(3)在新窗口中设置HTTP响应头,名称设置为X-Frame-Options,值设置为SAMEORIGIN,然后点击确认;

(4)这样就设置好了X-Frame-Options头。其值为SAMEORIGIN,意思是页面只能被本站页面嵌入到iframe或者frame中。这样就解决了X-Frame-Options头未设置的漏洞。

注意:X-Frame-Options头的值其实有三种,DENY:不能被嵌入到任何iframe或frame中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM uri:只能被嵌入到指定域名的框架中。三种值的设置方法是一样的,只是把上述步骤中的值SAMEORIGIN设置成你想要的一种值就好了。注意只能选择其中一种,不能同时设置两种或更多。



用户头像

唯爱

关注

天行健,君子以自强不息~ 2018.03.22 加入

梦想还是要有的,万一实现了呢!

评论

发布
暂无评论
点击劫持:无X-Frame-Options头信息(修复)