遺漏「X-Frame-Options」標頭

low Web App Scanning Plugin ID 98060

概要

遺漏「X-Frame-Options」標頭

說明

點擊劫持 (使用者介面修正攻擊、UI 修正攻擊、UI 修正) 是一種誘騙 Web 使用者點擊不同於預期點擊內容的惡意技術,當使用者按一下看似無害的網頁時,可能會導致機密資訊遭洩漏或電腦被控制。

伺服器未傳回「X-Frame-Options」標頭,這表示此網站可能會遭受點擊劫持攻擊。

「X-Frame-Options」HTTP 回應標頭可用來指示是否應允許瀏覽器轉譯框架或 iframe 內的頁面。網站可藉此確保其內容不會內嵌到其他網站中,進而避免點擊劫持攻擊。

解決方案

將 Web 伺服器設定為包含「X-Frame-Options」標頭。

另請參閱

http://tools.ietf.org/html/rfc7034

https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

https://www.owasp.org/index.php/Clickjacking

Plugin 詳細資訊

嚴重性: Low

ID: 98060

類型: remote

已發布: 2017/3/31

已更新: 2024/3/25

掃描範本: basic, config_audit, full, overview, pci, quick, scan

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Low

基本分數: 2.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Low

基本分數: 3.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N

CVSS 評分資料來源: Tenable

參考資訊