這幾天使用 Checkmarx 做白箱弱掃時,Javascript 的部份一直出現一個中度風險的項目:
【Client Cross Frame Scripting Attack】
Google 了一下似乎在 PHP 內的 header 加上 X-Frame-Options 相關設定就能解決此問題
在 PHP 頁面中各別設定:
完全禁止任何 iframe 請求
header("X-Frame-Options: DENY")只允許同 Domain 來源的請求
header("X-Frame-Options: SAMEORIGIN")只允許某網址的請求
header("X-Frame-Options: ALLOW-FROM http://www.google.com")在 Apache 中設定:
Header always append X-Frame-Options DENY雖然此方應該能有效避免【Client Cross Frame Scripting Attack】這類攻擊,
但在 Checkmarx 的白箱弱掃時,似乎還是會誤判為無效,待持續觀察 ...
