Javascript 错误响应上的X帧选项标题
我发现了一个与X-Frame-Options标题相关的有趣消息。但我不明白这怎么会是安全问题 以下代码作为漏洞的证明:Javascript 错误响应上的X帧选项标题,javascript,security,http,owasp,clickjacking,Javascript,Security,Http,Owasp,Clickjacking,我发现了一个与X-Frame-Options标题相关的有趣消息。但我不明白这怎么会是安全问题 以下代码作为漏洞的证明: require 'net/http' require 'uri' uri = URI.parse("https://play.google.com/#{"a" * 10000}") @r = Net::HTTP.get_response uri ret = @r.each_header {|x| puts x} if ret["x-frame-options
require 'net/http'
require 'uri'
uri = URI.parse("https://play.google.com/#{"a" * 10000}")
@r = Net::HTTP.get_response uri
ret = @r.each_header {|x| puts x}
if ret["x-frame-options"]
puts ret["x-frame-options"]
else
puts "Missing x-frame-options!"
end
但是它试图访问一个无效的URL(.)并返回一个错误页面。在响应中,缺少x-frame-options标头。我不明白这怎么会是一个安全漏洞(因为它是一个无效页面,并且是一个错误响应)?如何将其用于点击劫持?为什么设置此标头对错误响应很重要 您可以将以下行添加到.htaccess
Header always unset X-Frame-Options
也许最好继续问。错误页面和其他页面一样只是一个HTML页面。在Google Play的情况下,他们的系统不会在HTTP响应中添加
X-Frame-Options
标题来生成错误页面。这意味着,如果该页面上有任何内容是攻击者通过诱骗用户点击而获得的,则该页面可能容易受到点击劫持的攻击。从链接中不清楚此页面上显示的内容-如果您可以显示应用程序的安装按钮,则可能会让用户安装您的恶意应用程序。