asp.net 配置 X-Frame-Options

本文轉載自查看原文 2016-07-18 10:24 2105 C# ASP.NET

近日網站在安全檢查，送檢的網站被反饋有以下問題

X-Frame-Options Header未配置

漏洞描述：弱點描述： X-Frame-Options HTTP響應頭可以指示瀏覽器是否允許當前網頁在“frame”或“iframe”標簽中顯示，以此使網站內容不被其他站點引用和免於點擊劫持攻擊。

修復和改進建議：一般性的建議：給您的網站添加X-Frame-Options響應頭，賦值有如下三種，1、DENY：無論如何不在框架中顯示；2、SAMEORIGIN：僅在同源域名下的框架中顯示；3、ALLOW-FROM uri：僅在指定域名下的框架中顯示。如Apache修改配置文件添加“Header always append X-Frame-Options SAMEORIGIN”；Nginx修改配置文件“add_header X-Frame-Options SAMEORIGIN;”。

解決辦法：在web.config添加以下配置

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Web安全之 X-Frame-Options響應頭配置 X-Frame-Options(點擊劫持) 'X-Frame-Options' to 'SAMEORIGIN' 待解決 Clickjacking: X-Frame-Options header missing springBoot springSecurty x-frame-options deny Django報錯 'X-Frame-Options' to 'deny'. Django的X-Frame-Options設置 nginx優化X-Frame-Options 允許嵌套淺析Web安全漏洞里的X-Frame-Options、X-XSS-Protection、X-Content-Type-Options響應頭配置以及如何通過nginx配置避免 Tomcat服務器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options