Clickjacking: X-Frame-Options header missing
Severity:Low
Type: Configuration
Reported by module: Scripting (Clickjacking_X_Frame_Options.script)
網路上可以找到這個弱點會造成的傷害:(http://www.hkpug.net/2013/12/17/%E5%B0%8D%E6%8A%97%E9%BB%9E%E6%93%8A%E5%8A%AB%E6%8C%81%E6%96%B0%E6%AD%A6%E5%99%A8%EF%BC%9Ax-frame-options/)
點擊劫持 (Clickjacking) 是一種誘使用戶點擊一個看似無害的超連結或按鈕,實際上卻是點擊在另一個網頁上的一個超連結或按鈕。後果可能是泄露了機密的資料,或無緣無故「讚好」一個網站,甚至開啓電腦內置的鏡頭和麥克風。
解決的方法,可參考這篇文章: https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
如果是 ASP.NET 可以在 web.config 加上這一段
<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>
沒有留言:
張貼留言