最近项目交付后,安全扫描出现了 web类安全扫描发现1类安全问题,点击劫持:x-frame-options头缺失。
点击劫持(用户界面纠正攻击、用户界面纠正攻击、用户界面纠正攻击)是一种恶意技术,它诱使Web用户点击与用户所点击内容不同的内容,从而可能在点击看似无害的网页时泄露机密信息或控制其计算机。
服务器没有返回x-frame-options头,这意味着该网站可能面临点击劫持攻击的风险。x-frame-options HTTP响应头可用于指示是否允许浏览器呈现框架或iframe中的页面。网站可以通过确保其内容不嵌入其他网站来避免点击劫持攻击
修复方案如下:
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
在这里我们选择使用 SAMEORIGIN :
我们这里项目框架是使用的JFinal 直接在 ProxyHandler 类,对统一返回的消息头中设置:
response.setHeader("X-Frame-Options", "SAMEORIGIN");
即可解决该安全问题
