asp.net 配置 X-Frame-Options

本文转载自查看原文 2016-07-18 10:24 2105 C# ASP.NET

近日网站在安全检查，送检的网站被反馈有以下问题

X-Frame-Options Header未配置

漏洞描述：弱点描述： X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示，以此使网站内容不被其他站点引用和免于点击劫持攻击。

修复和改进建议：一般性的建议：给您的网站添加X-Frame-Options响应头，赋值有如下三种，1、DENY：无论如何不在框架中显示；2、SAMEORIGIN：仅在同源域名下的框架中显示；3、ALLOW-FROM uri：仅在指定域名下的框架中显示。如Apache修改配置文件添加“Header always append X-Frame-Options SAMEORIGIN”；Nginx修改配置文件“add_header X-Frame-Options SAMEORIGIN;”。

解决办法：在web.config添加以下配置

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 Web安全之 X-Frame-Options响应头配置 X-Frame-Options(点击劫持) 'X-Frame-Options' to 'SAMEORIGIN' 待解决 Clickjacking: X-Frame-Options header missing springBoot springSecurty x-frame-options deny Django报错 'X-Frame-Options' to 'deny'. Django的X-Frame-Options设置 nginx优化X-Frame-Options 允许嵌套浅析Web安全漏洞里的X-Frame-Options、X-XSS-Protection、X-Content-Type-Options响应头配置以及如何通过nginx配置避免 Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options