Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/416.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 错误响应上的X帧选项标题_Javascript_Security_Http_Owasp_Clickjacking - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 错误响应上的X帧选项标题

Javascript 错误响应上的X帧选项标题

javascript security http

Javascript 错误响应上的X帧选项标题,javascript,security,http,owasp,clickjacking,Javascript,Security,Http,Owasp,Clickjacking,我发现了一个与X-Frame-Options标题相关的有趣消息。但我不明白这怎么会是安全问题 以下代码作为漏洞的证明: require 'net/http' require 'uri' uri = URI.parse("https://play.google.com/#{"a" * 10000}") @r = Net::HTTP.get_response uri ret = @r.each_header {|x| puts x} if ret["x-frame-options

我发现了一个与X-Frame-Options标题相关的有趣消息。但我不明白这怎么会是安全问题

以下代码作为漏洞的证明:

require 'net/http'  
require 'uri'  
uri = URI.parse("https://play.google.com/#{"a" * 10000}")  
@r = Net::HTTP.get_response uri  
ret = @r.each_header {|x| puts x}  
if ret["x-frame-options"]  
  puts ret["x-frame-options"]  
else  
  puts "Missing x-frame-options!"  
end
但是它试图访问一个无效的URL(.)并返回一个错误页面。在响应中,缺少x-frame-options标头。我不明白这怎么会是一个安全漏洞(因为它是一个无效页面,并且是一个错误响应)?如何将其用于点击劫持?为什么设置此标头对错误响应很重要

您可以将以下行添加到.htaccess

Header always unset X-Frame-Options
也许最好继续问。错误页面和其他页面一样只是一个HTML页面。在Google Play的情况下,他们的系统不会在HTTP响应中添加
X-Frame-Options
标题来生成错误页面。这意味着,如果该页面上有任何内容是攻击者通过诱骗用户点击而获得的,则该页面可能容易受到点击劫持的攻击。从链接中不清楚此页面上显示的内容-如果您可以显示应用程序的安装按钮,则可能会让用户安装您的恶意应用程序。