做網(wǎng)站優(yōu)化，安全先行，如果你用360的安全監(jiān)測(cè)到了有以下問題，建議你用下面的方法解決問題。

 

壹 先看下360給出的方案，但么有針對(duì)服務(wù)器的具體設(shè)置，不是每個(gè)人對(duì)服務(wù)器都很懂啊。

 

描述： 目標(biāo)服務(wù)器沒有返回一個(gè)X-Frame-Options頭。

 

X-Frame-Options HTTP響應(yīng)頭是用來確認(rèn)是否瀏覽器可以在frame或iframe標(biāo)簽中渲染一個(gè)頁面，網(wǎng)站可以用這個(gè)頭來保證他們的內(nèi)容不會(huì)被嵌入到其它網(wǎng)站中，以來避免點(diǎn)擊劫持。

 

危害： 攻擊者可以使用一個(gè)透明的、不可見的iframe，覆蓋在目標(biāo)網(wǎng)頁上，然后誘使用戶在該網(wǎng)頁上進(jìn)行操作，此時(shí)用戶將在不知情的情況下點(diǎn)擊透明的iframe頁面。通過調(diào)整iframe頁面的位置，可以誘使用戶恰好點(diǎn)擊iframe頁面的一些功能性按鈕上，導(dǎo)致被劫持。

 

解決方案：

 

修改web服務(wù)器配置，添加X-frame-options響應(yīng)頭。賦值有如下三種：

 

（1）DENY：不能被嵌入到任何iframe或frame中。

 （2）SAMEORIGIN：頁面只能被本站頁面嵌入到iframe或者frame中。

 （3）ALLOW-FROM uri：只能被嵌入到定向 域名的框架中。

 

  

iis6的設(shè)置方法

 

iis7的設(shè)置方法