如何解決網站弱點掃描的Cross-Frame Scripting問題?
什麼是Cross-Frame Scripting?
網站弱點掃描如果有列到Cross-Frame Scripting這一項,並提到「此 URL 可被嵌入在測試 網頁的框架中,惡意攻擊者可於框架外建立釣魚頁面,進而騙取使用者做出意想之外的行為,建議與 AP 廠商確認與修補。」那就表示你的網站可以被其他網頁以iframe或其他網頁frame的方式假裝是你的網站,進行騙取民眾的帳號、密碼之類的個資資料。
如何解決Cross-Frame Scripting?
可以參考這篇文章的處理方式,依你的伺服器類型來處理
https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options
這裡列出公家機關最常用的IIS伺服器的處理方式
IIS伺服器
請加入以下指令到網站的 Web.config 檔:
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
完成後建議在IIS重啟網站。
如何驗證、手動檢核你的網站是否Cross-Frame Scripting?
設定完成之後,總是要做一下驗證,才知道有沒有做對。驗證方式就是進到下面這個網頁,將你的網址或是要驗證的網頁URL輸入。
如果是灰色畫面,表示已經成功擋掉Cross-Frame Scripting。
如果會出現任何網頁畫面,表示還存在Cross-Frame Scripting的問題。
https://www.lookout.net/test/clickjack.html
=========
* 歡迎分享這篇文章
想詢問網站設計方面的問題?
凱士網站設計公司深受B2B外銷公司、上市櫃公司及外商公司推薦,累積超過100個網頁設計作品。
我們很樂意用淺顯易懂的方式讓我們的客戶輕鬆了解網頁設計的各種疑難雜症。
如果您對網站設計規劃有任何問題,歡迎聯絡凱士網頁設計:立即填寫諮詢表單,或直接撥打電話 04-22210688