漏洞上线时间:
2011-07-02
漏洞名称:
X-Frame-Options头未设置
漏洞类型:
跨站脚本攻击（XSS）
所属服务器类型:
通用
漏洞风险:
1. 存在 "非法读取用户信息" 风险
2. 安全性降低10%
3. 0个站长进行了讨论
检测时间:
2017-04-20 20:05:40
漏洞证据:
- 漏洞地址:
http://www.liloufan.com
解决方案:
修改web服务器配置，添加X-frame-options响应头。赋值有如下三种：
（1）DENY：不能被嵌入到任何iframe或frame中。
（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。
（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。
也可在代码中加入，在PHP中加入：
header('X-Frame-Options: deny');

-----------------------------------------------解决方法------------------------------------------------------


在网上查看的解决方法如下


X-Frame-Options 响应头
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者