1：點擊劫持:無X-Frame-Options頭信息

目前創(chuàng)新互聯公司已為近1000家的企業(yè)提供了網站建設、域名、虛擬主機、網站托管、服務器托管、企業(yè)網站設計、定南網站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協力一起成長，共同發(fā)展。

X-Frame-Options HTTP 響應頭，可以指示瀏覽器是否應該加載一個 iframe 中的頁面。網站可以通過設置 X-Frame-Options 阻止站點內的頁面被其他頁面嵌入從而防止點擊劫持。
X-Frame-Options 共有三個值：
DENY
任何頁面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
頁面只能被本站頁面嵌入到 iframe 或者 frame 中。
ALLOW-FROM uri
頁面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

1）IIS6服務器。配置服務器，使返回報文包括X-Frame-Options。修改IIS配置，http頭，自定義，添加。

2)Apache 配置 X-Frame-Options
在站點配置文件 httpd.conf 中添加如下配置，限制只有站點內的頁面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服務器上有多個站點，只想針對一個站點進行配置，可以修改.htaccess 文件，添加如下內容：
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夾下，修改 nginx.conf  ，添加如下內容：
add_header X-Frame-Options "SAMEORIGIN";

2. Microsoft IIS目錄枚舉

解決方法： 安裝urlscan，將~符號拒絕掉。DenyUrlSequences 下面添加 ~。

3.Microsoft IIS版本泄漏

解決方法： 安裝urlscan，將header頭server刪掉。

4. general OPTIONS methodis enabled

解決方法： 安裝urlscan，UseAllowVerbs = 0

使用允許模式檢查URL請求，如果設置為1,所有沒有在[AllowVerbs]節(jié)設置的請求都被拒絕；如果設置為0，所有沒有在[DenyVerbs]設置的URL請求都認為合法；默認為1;。

AllowDotInPath=1

另外有需要云服務器可以了解下創(chuàng)新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網頁名稱：網站漏洞處理-創(chuàng)新互聯
本文鏈接：http://weahome.cn/article/csdhjg.html