缺少或寬鬆的 X-Frame-Options HTTP 回應標頭

info Nessus Plugin ID 50345

概要

遠端 Web 伺服器不會採取步驟減輕 Web 應用程式弱點造成的影響。

說明

某些回應中的遠端 Web 伺服器設定了寬鬆的 X-Frame-Options 回應標頭,或是完全沒有設定。

Microsoft 建議使用 X-Frame-Options 標頭做為減輕點擊劫持攻擊的一種方式,而且目前受到所有主要瀏覽器供應商支援

解決方案

針對所有要求的資源設定一個正確設定的 X-Frame-Options 標頭。

另請參閱

https://en.wikipedia.org/wiki/Clickjacking

http://www.nessus.org/u?399b1f56

Plugin 詳細資訊

嚴重性: Info

ID: 50345

檔案名稱: http_X_Frame_Options_header.nasl

版本: 1.5

類型: remote

系列: CGI abuses

已發布: 2010/10/26

已更新: 2021/1/19

支援的感應器: Nessus