堆棧內存溢出
  簡體   English   中英

錯誤響應時出現X-Frame-Options標頭

[英]X-Frame-Options header on error response

 原文  2015-02-14 12:48:25       javascript/ security/ http/ owasp/ clickjacking

問題描述

我發現了與X-Frame-Options標頭相關的有趣的錯誤報告 但是我不明白這怎么可能是安全問題。

給出以下代碼作為漏洞證明: 

require 'net/http'  
require 'uri'  
uri = URI.parse("https://play.google.com/#{"a" * 10000}")  
@r = Net::HTTP.get_response uri  
ret = @r.each_header {|x| puts x}  
if ret["x-frame-options"]  
  puts ret["x-frame-options"]  
else  
  puts "Missing x-frame-options!"  
end

但是它試圖訪問無效的URL( https://play.google.com/aaaaaaaaa .. ),並返回錯誤頁面。 在響應中,缺少x-frame-options標頭。 我不知道這怎么可能是一個安全漏洞(因為它是無效的頁面,並且是錯誤響應)? 如何將其用於點擊劫持? 為什么對於錯誤響應也很重要,還應該設置此標頭?

1 個解決方案

解決方案1
 2  2015-02-21 08:56:18

您可以將以下行添加到.htaccess 

Header always unset X-Frame-Options

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 X-frame-Options Http 響應 Header 不起作用 X-Frame-Options錯誤 捕獲JavaScript中的X-Frame-Options錯誤 從“ X-Frame-Options”到“ SAMEORIGIN”。 錯誤 有沒有一種方法可以渲染具有X-Frame-Options的網頁:在帶有reactjs的標題響應中拒絕 IIS正在添加默認的“X-Frame-Options:SAMEORIGIN”,即使我在默認網站級別添加了新的HTTP響應標頭為“X-Frame-Options:ALLOW”。 X-Frame-Options標頭和Google Analytics(分析)“頁內分析” 錯誤:在框架中,因為它將“X-Frame-Options”設置為“sameorigin” 檢測 X-Frame-Options 在 js 中將“X-Frame-Options”設置為“sameorigin 錯誤”
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM