缺少“X-Frame-Options”标头
low Web App Scanning 插件 ID 98060
语言:
简介
缺少“X-Frame-Options”标头描述
点击劫持(用户界面伪装攻击,UI 伪装攻击,UI 伪装)是一种恶意技术,其可诱骗 Web 用户点击与用户预期所点击的内容不同的内容,从而可能当用户在看似无害的网页上点击时泄露用户的机密信息或控制其计算机。服务器未返回“X-Frame-Options”标头,这意味着此网站可能面临点击劫持攻击的风险。
“X-Frame-Options”HTTP 响应标头可用于指示是否应允许浏览器在框架或 iframe 内渲染页面。网站可利用此标头,通过确保其内容未嵌入到其他网站中,来避免点击劫持攻击。
解决方案
将 Web 服务器配置为包含“X-Frame-Options”标头。另见
http://tools.ietf.org/html/rfc7034
https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
插件详情
严重性: Low
ID: 98060
类型: remote
发布时间: 2017/3/31
最近更新时间: 2024/3/25
扫描模板: basic, config_audit, full, overview, pci, quick, scan
风险信息
VPR
风险因素: Low
分数: 2.2
CVSS v2
风险因素: Low
基本分数: 2.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: Low
基本分数: 3.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
CVSS 分数来源: Tenable
参考资料信息
OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A4, 2021-A7
WASC: Application Misconfiguration
CAPEC: 103, 111, 141, 142, 160, 181, 21, 222, 384, 385, 386, 387, 388, 504, 506, 510, 59, 60, 654, 75, 76, 89
DISA STIG: APSC-DV-002560
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.10.1, 27001-A.14.2.5
NIST: sp800_53-CM-6b, sp800_53-SI-10(5)
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-14.4.3, 4.0.2-14.4.7