1：點(diǎn)擊劫持:無X-Frame-Options頭信息

成都創(chuàng)新互聯(lián)始終堅(jiān)持【策劃先行，效果至上】的經(jīng)營理念，通過多達(dá)10年累計超上千家客戶的網(wǎng)站建設(shè)總結(jié)了一套系統(tǒng)有效的營銷推廣解決方案，現(xiàn)已廣泛運(yùn)用于各行各業(yè)的客戶，其中包括：茶藝設(shè)計等企業(yè)，備受客戶表揚(yáng)。

X-Frame-Options HTTP 響應(yīng)頭，可以指示瀏覽器是否應(yīng)該加載一個 iframe 中的頁面。網(wǎng)站可以通過設(shè)置 X-Frame-Options 阻止站點(diǎn)內(nèi)的頁面被其他頁面嵌入從而防止點(diǎn)擊劫持。
X-Frame-Options 共有三個值：
DENY
任何頁面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
頁面只能被本站頁面嵌入到 iframe 或者 frame 中。
ALLOW-FROM  uri
頁面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

1）IIS6服務(wù)器。配置服務(wù)器，使返回報文包括X-Frame-Options。修改IIS配置，http頭，自定義，添加。

2)Apache 配置 X-Frame-Options
在站點(diǎn)配置文件 httpd.conf 中添加如下配置，限制只有站點(diǎn)內(nèi)的頁面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服務(wù)器上有多個站點(diǎn)，只想針對一個站點(diǎn)進(jìn)行配置，可以修改.htaccess 文件，添加如下內(nèi)容：
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夾下，修改 nginx.conf   ，添加如下內(nèi)容：
add_header X-Frame-Options "SAMEORIGIN";

2.Microsoft IIS目錄枚舉

解決方法： 安裝urlscan，將~符號拒絕掉。DenyUrlSequences 下面添加 ~。

3.Microsoft IIS版本泄漏

解決方法： 安裝urlscan，將header頭server刪掉。

4. general OPTIONS methodis enabled

解決方法： 安裝urlscan，UseAllowVerbs = 0

使用允許模式檢查URL請求，如果設(shè)置為1,所有沒有在[AllowVerbs]節(jié)設(shè)置的請求都被拒絕；如果設(shè)置為0，所有沒有在[DenyVerbs]設(shè)置的URL請求都認(rèn)為合法；默認(rèn)為1;。

AllowDotInPath=1