网站安全扫描报告提示：X-Frame-Options头未设置

网站安全扫描报告提示：X-Frame-Options头未设置，下面青岛网站建设公司青华互联给出其原因及解决方案。

发现时间：2016-06-30

漏洞类型：跨站脚本攻击（XSS）

所属建站程序：其他

所属服务器类型：通用

所属编程语言：其他

描述： 目标服务器没有返回一个X-Frame-Options头。

危害： 攻击者可以使用一个透明的、不可见的iframe，覆盖在目标网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击iframe页面的一些功能性按钮上，导致被劫持。

解决方案：

修改web服务器配置，添加X-frame-options响应头。赋值有如下三种：

（1）DENY：不能被嵌入到任何iframe或frame中。

（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。

（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

也可在代码中加入，在PHP中加入：

header('X-Frame-Options: deny');

以上就是网站安全扫描报告提示：X-Frame-Options头未设置的解决方案，网络安全无小事，青岛网站建设公司青华互联提示您，一定要及时排查自己的网站，以免被不法分子攻击利用。

扫描二维码手机查看该文章