`
xinglijun1973
  • 浏览: 55002 次
社区版块
存档分类
最新评论

2个漏洞X-Frame-Options和Cookie without Secure flag

 
阅读更多
2.1Clickjacking:X-Frame-Options header missing
漏洞级别:低危
受影响的站点:

序号 受影响站点 截图
2 https://bpo.elite-club.net.cn/gmacsaic-bpo

漏洞危害:
未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下请求其他服务,造成信息泄露或其他有害于用户的问题。
修复建议:
设置 X-Frame-Options参数为SAMEORIGIN或者Deny,或者设置ALLOW-FROM参数。
操作:
java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN

2.2Cookie without Secure flag set
漏洞级别:低危
受影响的站点:

序号 受影响站点 截图
1 https://bpo.elite-club.net.cn/gmacsaic-bpo


漏洞危害:
未设置Cookie的Secure值,导致其值在http协议下也能上传到服务器,可能被。与其他漏洞等结合,可导致访问控制失效。
修复建议:
设置 Cookie的Secure值为yes。
操作
Web.xml:
<session-config>
     <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure> <!- 意思是必须使用https发送cooker。注意:设置此值必须使用https,否则http不会发送cookkie -->
     </cookie-config>
   </session-config>
分享到:
评论

相关推荐

    X-Frame-Options相关文件

    描述中提到的"X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明...

    X-Frame-Options未配置漏洞修复参考v1.0.docx

    总的来说,理解和正确配置X-Frame-Options头是保障网站安全、防止点击劫持攻击的关键步骤,也是网站管理员必须重视的网络安全实践。通过设置合适的策略,可以有效地防止恶意第三方将你的页面嵌入到他们自己的框架中...

    X-Frame-Options头缺失漏洞修复-esapi.zip

    在给定的场景中,"X-Frame-Options头缺失漏洞修复-esapi.zip" 提供了一个解决方案,即使用ClickjackFilter.jar。这个过滤器是Enterprise Security API (ESAPI) 的一部分,ESAPI 是一个开源的安全库,旨在为Java应用...

    x-frame-options:x-frame-options旁路

    x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: &lt; iframe src =" https://example.com/ " &gt; &lt;/ iframe &gt; 用 &lt; iframe ...

    X-Frame-Options头未设置 防止网页被iframe内框架调用

    描述: 目标服务器没有返回一个X-Frame-Options头。 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免...

    koa-xframe:适用于Koa的X-Frame-Options HTTP响应标头实用程序

    :light_bulb: 该中间件是为 v2.xx设计的,并使用来...// default settings -&gt; set X-Frame-Options to 'DENY'app . use ( xFrame ( ) ) ;// custom settings// -&gt; set X-Frame-Options to 'DENY'app . use ( xFrame (

    忽略X-Frame-Options「ignore X-Frame-Options」-crx插件

    解决谷歌等页面无法在iframe中引用的问题 X-Frame-Options HTTP响应头可用于指示是否允许浏览器在a中渲染页面&lt;frame&gt;要么&lt;iframe&gt; 。使用这个插件删除它! 支持语言:中文 (简体)

    X-Frame FPS Accelerator v3.5

    X-Frame FPS Accelerator reduces lag and contributes to higher FPS (Frames Per Second) providing a smooth gameplay to your users. X-Frame is intended for mobile devices (Android and iOS tested) and ...

    x-frame-bypass:绕过X帧选项

    通常,`X-Frame-Options`有三个可能的值:`DENY`、`SAMEORIGIN`和`ALLOW-FROM`。 1. `DENY`:禁止任何网站将页面加载到IFrame中。 2. `SAMEORIGIN`:只允许同源策略下的页面加载,即只有与发送该头部的页面在同一...

    X-Frame-Option.rar

    在描述中提到的“解决‘Clickjacking: X-Frame-Options header missing’漏洞,亲测可用”,意味着这个压缩包提供了一个解决方案,针对的是服务器未设置X-Frame-Options响应头的情况。当此响应头缺失时,网站可能...

    iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法

    当然也是因为被360检测到了示"X-Frame-Options头未设置",根据360的提示与百度了一些网上的一些资料整理了下,完美解决问题。 首先看下360给出的方案,但么有针对服务器的具体设置,不是每个人对服务器都很懂啊。 ...

    Chrome浏览器跳过X-Frame

    Google Chrome浏览器跳过X-Frame,很好用!!!!Google Chrome浏览器跳过X-Frame,很好用!!!!

    Ignore X-Frame headers-crx插件

    删除X-Frame-Options和Content-Security-Policy HTTP响应标头,以允许对所有页面进行格式化。 只能暂时使用,并且只能用于开发,测试或故障排除目的,因为它会禁用重要的浏览器安全机制。 没有自定义选项或安装说明...

    x-frame-options

    x-frame-options x-frame-options旁路安装方式npm install用法npm run start 而不是将iframe源与网站的实际链接一起使用:&lt; iframe src =" https://example.com/ " &gt; &lt;/ iframe &gt; 用&lt; iframe src =" ...

    HTTP安全标头大全(X-Frame-Options,CSP,HSTS.....,,)

    HTTP安全标头大全(X-Frame-Options,CSP,HSTS.....,,) 最常见的攻击包括:钓鱼、跨站脚本(XSS)、中间人攻击(MITM,通常发生在免费公共WiFi或其他开放网络上) 所以HTTP安全头是一种良好的防火墙,可以防止许多...

    framebusting:一个简单的演示,展示了如何使用“X-Frame-Options”来帮助防止点击劫持

    结果好的站点上的页面提供X-Frame-Options标头设置为sameorigin 。 当坏站点试图从框架中的好站点加载页面时,为了点击劫持,浏览器会阻止这种情况发生。 好的站点仍然可以将自己的页面加载到框架中。什么代码?! ...

    ignore X-Frame-Options-crx插件

    语言:中文 (简体) ...The X-Frame-Options HTTP response header can be used to indicate whether or not a browser should be allowed to render a page in a or . Using this plugin to remove it!

    ngnix 漏洞修复文档

    通过添加 add_header X-Frame-Options SAMEORIGIN; 可以解决这个问题。 8. X-Permitted-Cross-Domain-Policies 响应头缺失 X-Permitted-Cross-Domain-Policies 是一种 HTTP 响应头,用于指定跨域策略。通过添加 ...

Global site tag (gtag.js) - Google Analytics