如何解決 Apache 上網站弱點掃描的 Cross-Frame Scripting 問題?

介紹

網站弱點掃描如果有列到 Cross-Frame Scripting 這一項弱點,上網查詢後是這原因「此 URL 可被嵌入在測試 網頁的框架中,惡意攻擊者可於框架外建立釣魚頁面,進而騙取使用者做出意想之外的行為」。

解決方法

依照伺服器類型會有不同的解法,可參考以下文章

https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options

在 Ubuntu 的 Apache 伺服器解決方法

Apache 的伺服器架設可以根據此篇文章

以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。

1. 在 apache2 上啟用 mod_headers

在 Ubuntu 主機上執行以下指令

sudo a2enmod headers

重啟 Apache 伺服器

sudo systemctl restart apache2

2. 設定 <網站根目錄>.htaccess

#set up response header
<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
</IfModule>

X-XSS-Protection “1; mode=block” -> 在所有的網路區域啟用保護,並設定為阻擋模式( blocking mode )。

Leave a Reply

發佈留言必須填寫的電子郵件地址不會公開。