Clickjacking iis允许跨域设置
整理有2种方法解决这个问题:
1、如果站点部署在Windows服务器上,在IIS里配置如下:X-Frame-Options - HTTP | MDN (mozilla.org)
<httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> 页面只能被本站页面嵌入到iframe或者frame中 </customHeaders> </httpProtocol>
2、每个页面加JS代码,如下:
<script>
if (self == top) {
var theBody = document.getElementsByTagName('body')[0];
theBody.style.display = "block";
} else {
top.location = self.location;
}
</script>
方法一只需改下IIS的header策略,页面不加代码。
方法二每个页面都加js代码。
如果必须保留的话得修复链接说明的问题
Web Application Potentially Vulnerable to Clickjacking | Tenable®
解决方法链接
Clickjacking Defense - OWASP Cheat Sheet Series
下面的仅供参考
浙公网安备 33010602011771号