原创著作,产权保护 政府、投票、评选、公安、学校、问卷、视频会议专注发展中小企事业 系统报价 | 支付帐号 | 授权查证
    计算机著作版权登记号:2014SR032463 手机:+86-1373066-4304 | QQ:1213920482 欢迎选择智睿软件系统 欢迎选择智睿软件系统
智睿软件系统
X-Frame-Options头未设置,如何设置解决方案
来源:智睿 浏览:1529 次 发布时间:2019-09-07 13:07:43

X-Frame-Options头未设置是一种网站漏洞警告,漏洞类型为跨站脚本攻击(XSS)。目标服务器没有返回一个X-Frame-Options头。X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。那么如何设置X-Frame-Options头呢?下面一起看看解决方案。

方法1:写一个web.config文件
在网站根目录下创建一个web.config文件(适用于Windows系统),代码如下:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
 ...
 <httpProtocol>
  <customHeaders>
   <add name="X-Frame-Options" value="SAMEORIGIN" />
  </customHeaders>
 </httpProtocol>
 ...
</system.webServer>
</configuration>
这样就给网站添加X-frame-options响应头,且赋值为SAMEORIGIN。就设置好了X-Frame-Options头。其实SAMEORIGIN的作用是页面只能被本站页面嵌入到iframe或者frame中。

X-Frame-Options头未设置,如何设置?

方法2:利用iis服务器进行配置打开iis服务器,找到相应的网站,双击iis配置里面的“HTTP响应标头”,进入HTTP相应标头设置页面。

X-Frame-Options头未设置,如何设置?
进入HTTP相应标头设置页面后,点击右边操作里面的“添加”。
X-Frame-Options头未设置,如何设置?
在新窗口中设置HTTP响应头,名称设置为X-Frame-Options,值设置为SAMEORIGIN,然后点击确认。
X-Frame-Options头未设置,如何设置?
这样就设置好了X-Frame-Options头。其值为SAMEORIGIN,意思是页面只能被本站页面嵌入到iframe或者frame中。这样就解决了X-Frame-Options头未设置的漏洞。
X-Frame-Options头未设置,如何设置?


注意事项
本人亲测可行,觉得有用就点个赞。
X-Frame-Options头的值其实有三种,DENY:不能被嵌入到任何iframe或frame中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM uri:只能被嵌入到指定域名的框架中。三种值的设置方法是一样的,只是把上述步骤中的值SAMEORIGIN设置成你想要的一种值就好了。注意只能选择其中一种,不能同时设置两种或更多。

【刷新页面】【加入收藏】【打印此文】 【关闭窗口】
上一篇:智睿网络投票评选管理系统 V 10.7.4 网络投票系统,优秀评选管理系 下一篇:xss跨站脚本攻击漏洞防注入安全修复方案