一、网安检测,需要我们整改
1)iframe 点击劫持,只允许同源的域名使用iframe。
2) 高版本的浏览器通过csp的方式来加非同源的白名单。
测试:
<!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8" > <title>点击劫持测试</title> </head> <body> <iframe src="https://www.aaa.com/" width="500" height="500" frameborder="10"> </iframe> </body> </html>
3)通过设置"X-Content-Type-Options: nosniff"响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。设置X-Content-Type-Options,可能导致IE9、IE11拒绝加载没有返回Content-Type的相关资源。
4)启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
add_header X-Frame-Options SAMEORIGIN; add_header Content-Security-Policy "frame-ancestors http://*.aaa.com https://*.vvv.com; add_header X-Content-Type-Options "nosniff"; add_header X-XSS-Protection "1; mode=block";