滲透測試弱點修補_Clickjacking: X-Frame-Options header
攻擊者利用網頁應用程式允許使用框架(Frame)語法載入其他網站之頁面,可以誘騙其他使用者瀏覽並點擊攻擊者所設計之頁面,其點擊的行為可以直接於被載入的網頁應用程式頁面內執行。
https://resources.infosecinstitute.com/topics/general-security/clickjacking-strokejacking-ui-redress/
可以從AP層面設置
利用X-Frame-Options表頭資訊限制網頁不允許被HTML的Frame所載入。
也可透過config配置檔設置
修改httpd.conf檔案,將下列參數加入設定中,之後重新啟動伺服器即可。
Header always append X-Frame-Options SAMEORIGIN
Ref:
https://www.clickcease.com/blog/what-is-clickjacking-and-how-does-it-affect-ppc-ads/
https://qadit.com/blog/click-jacking-hijacking-the-click/
留言
張貼留言