介紹
網站弱點掃描如果有列到 Cross-Frame Scripting 這一項弱點,上網查詢後是這原因「此 URL 可被嵌入在測試 網頁的框架中,惡意攻擊者可於框架外建立釣魚頁面,進而騙取使用者做出意想之外的行為」。
解決方法
依照伺服器類型會有不同的解法,可參考以下文章
https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options
在 Ubuntu 的 Apache 伺服器解決方法
Apache 的伺服器架設可以根據此篇文章
以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。
1. 在 apache2 上啟用 mod_headers
在 Ubuntu 主機上執行以下指令
sudo a2enmod headers
重啟 Apache 伺服器
sudo systemctl restart apache2
2. 設定 <網站根目錄>.htaccess
#set up response header
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
X-XSS-Protection “1; mode=block” -> 在所有的網路區域啟用保護,並設定為阻擋模式( blocking mode )。