Buv*_*era 1 security testing x-frame-options
我正在做一个Web应用程序测试,发现在具有多个x-frame-options标头条目时存在一些漏洞。哪些浏览器容易受到多个x帧选项的攻击?
Multiple x-frame-options标头条目可能受到哪些攻击?ClickJacking似乎是一种很难的方法,因为在新的浏览器中无法实现。
小智 5
根据RFC7034 [1],允许设置多个具有相同名称的消息头。当存在此类消息头时,通常将它们连接起来(Firefox),并且浏览器(客户端)会形成单个消息头,因为RFC允许这样做。
当且仅当该报头字段的整个字段值定义为以逗号分隔的列表[即,#(值)]时,消息中才会存在多个具有相同字段名的消息报头字段。通过将每个随后的字段值附加到第一个字段(每个字段用逗号隔开),必须在不改变消息语义的情况下,将多个报头字段组合成一个“字段名:字段值”对。
对于消息头X-FRAME-OPTIONS,只有这3个值才被识别为有效。“ DENY ”,“ SAMEORIGIN ”和“ ALLOW FROM ”。这些值是互斥的,这意味着仅这些值应存在,并且标头中也只能存在其中一个。
假设服务器设置了两个具有相同名称的消息头。
HTTP / 1.1 200 OK
服务器:nginx / 1.11.3
日期:2017年5月24日星期三04:31:29 GMT
内容类型:text / html; charset = UTF-8
内容长度:5870
连接:keep-alive
X-框架选项:DENY
X-Content-Type-Options:nosniff
X-XSS-Protection:1;模式=块
Set-Cookie:JSESSIONID = 9F18D25951F107BE4C528CD787A3FE2F; 路径= /; 安全; HttpOnly
上次修改时间:2017年2月2日,星期四,格林尼治标准时间
ETag:W /“ 5870-1486075296000”
变化:接受编码
X帧选项:SAMEORIGIN
严格的传输安全性:max-age = 31536000; includeSubDomains
X-Content-Type-Options:nosniff
X-XSS-Protection:1;模式=阻止
请注意,服务器正在响应2个X-FRAME-OPTIONS消息头
X框架选项:拒绝
X框架选项:SAMEORIGIN
在Firefox(不仅是Firefox)中,浏览器引擎会将其解释为X-FRAME-OPTIONS:“ DENY,SAMEORIGIN”。尽管RFC允许串联,但由于这些标头值是互斥的,因此浏览器尝试将DENY,SAMEORIGIN解释为一个sngle元素,这会导致防点击劫持措施失败。
这是一个不错的博客[2],它进一步解释了这一点,[3]谈到了类似的问题。
[1] https://www.w3.org/Protocols/rfc2616/rfc2616-sec4.html
[2] https://blog.qualys.com/securitylabs/2015/10/20/clickjacking-a-common-implementation -mistake-that-can-put-your-websites-in-danger
[3] https://wordpress.org/support/topic/multiple-x-frame-options-headers-with-conflicting-values-sameorigin-deny /
希望您会发现此信息有用。:)
干杯,
米琳达。
| 归档时间: |
|
| 查看次数: |
3053 次 |
| 最近记录: |