在開發過程中我們很少會注意到x-frame-options,說白了這東西就是告訴瀏覽器你的當前頁面是否允許放入到乙個iframe中。它有三個值、允許、不允許、允許相同網域名稱下的iframe中顯示。
* deny:瀏覽器拒絕當前頁面載入任何frame頁面
* sameorigin:frame頁面的位址只能為同源網域名稱下的頁面
* allow-from:origin為允許frame載入的頁面位址
解決方案:
nginx:(親測好用)
/usr/local/nginx/config/nginx.config 找到』http』, 『server』 或者 『location』 加入下面的**:apache:
add_header x-frame-options sameorigin;重啟nginx
web漏洞之檔案包含
伺服器執行php檔案時,可以通過檔案包含函式載入另乙個檔案中的php 並且當php來執行,這會為開發者節省大量的時間。這意味著您可以建立供所有網頁引用的標準頁首或選單檔案。當頁首需要更新時,您只更新乙個包含檔案就可以了,或者當您向 新增一張新頁面時,僅僅需要修改一下選單檔案 而不是更新所有網頁中的鏈...
Web安全之檔案上傳漏洞
系統管理員都有過系統被上傳後門 木馬或者是網頁被人篡改的經歷,這類攻擊大部分是通過檔案上傳來是實現的。檔案上傳漏洞是指網路攻擊者上傳了乙個可執行檔案到伺服器並執行。這裡上傳的檔案可以是木馬 病毒 惡意指令碼或者webshell等。這種攻擊方式是最為直接和有效的,部分檔案上傳漏洞的利用技術門檻非常的低...
常見WEB漏洞
目錄 xss 跨站指令碼攻擊 概念 分類儲存型xss 反射型xss dom型xss 黑客通過 html注入 篡改網頁,插入惡意指令碼,當使用者瀏覽網頁時,實現控制使用者瀏覽器行為的一種攻擊方式。利用盜取使用者的cookie,以正常使用者身份來訪問站點 原理主動訪問攜帶xss指令碼的鏈結觸發xss。x...