1:点击劫持:无X-Frame-Options头信息
X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。
X-Frame-Options 共有三个值:
DENY
任何页面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
页面只能被本站页面嵌入到 iframe 或者 frame 中。
ALLOW-FROM uri
页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。
1)IIS6服务器。配置服务器,使返回报文包括X-Frame-Options。修改IIS配置,http头,自定义,添加。
2)Apache 配置 X-Frame-Options
在站点配置文件 httpd.conf 中添加如下配置,限制只有站点内的页面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服务器上有多个站点,只想针对一个站点进行配置,可以修改.htaccess 文件,添加如下内容:
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夹下,修改 nginx.conf ,添加如下内容:
add_header X-Frame-Options "SAMEORIGIN";
2. Microsoft IIS目录枚举
解决方法: 安装urlscan,将~符号拒绝掉。DenyUrlSequences 下面添加 ~。
3.Microsoft IIS版本泄漏
解决方法: 安装urlscan,将header头server删掉。
4. general OPTIONS methodis enabled
解决方法: 安装urlscan,UseAllowVerbs = 0
使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;。
AllowDotInPath=1
本文出自 “旭日东升” 博客,请务必保留此出处http://xingyun.blog.51cto.com/1310891/1893762
原文:http://xingyun.blog.51cto.com/1310891/1893762