【问题标题】:How to set url pattern in web.xml for Coldfusion CFClickJackFilterDeny如何在 web.xml 中为 Coldfusion CFClickJackFilterDeny 设置 url 模式
【发布时间】:2016-10-17 17:11:14
【问题描述】:

我正在尝试解决我正在处理的使用 ColdFusion 11 的网站的点击劫持漏洞。不过,我似乎在生产网站上遇到了 URL 模式的问题。现在我有:

<filter-mapping>
    <filter-name>CFClickJackFilterSameOrigin</filter-name>
    <url-pattern>/CFIDE/administrator/*</url-pattern>
</filter-mapping>

<filter-mapping>
    <filter-name>CFClickJackFilterDeny</filter-name>
    <url-pattern>/ABC/*</url-pattern>
</filter-mapping>

第一部分是默认的,但由于我不在站点中使用框架,我希望它默认拒绝其他任何内容。

我遇到的问题是我似乎无法正确设置 url 模式。在我的开发服务器上,我使用“http://localhost/abc”来访问我的工作版本。但是在生产站点上,url 遵循模式“https://abc.def.xyz.com”。如果我使用“ABC”作为 url 模式,如上所述,它适用于开发站点,但不适用于生产站点。所以,我显然遗漏了一些关于如何设置 url 模式的内容。我想如果我只使用 /*,我最终会锁定(拒绝)包括管理员在内的所有内容,这并不是我想要的。

我通常不需要在服务器设置等方面工作,但是这样做的人出事了并且在医院里,所以就离开了我。关于如何设置正确的 url 模式以使其正常工作的任何想法?

谢谢。

【问题讨论】:

  • filter-mapping 选项只允许您指定url-pattern 出现在域名之后。这适用于您的开发服务器,但看起来您的生产服务器正在使用子域(在域名之前)。您需要通过您的网络服务器查看设置。也许改为发送 X-Frame-Options 标头。
  • 更改 web.config 以发送 x-frame-options 标头对我有用。感谢您的帮助。
  • 太好了,很高兴对您有所帮助。我会添加一个正确的答案,以便其他人在找到您的问题时可以看到它。

标签: coldfusion clickjacking


【解决方案1】:

由 cmets 推广

filter-mapping 选项只允许您指定url-pattern出现在域名之后。这适用于您的开发服务器,但看起来您的生产服务器正在使用子域(出现在域名之前)。您需要通过您的网络服务器查看设置。也许改为发送X-Frame-Options 标头。

来自 OWASP Clickjacking Defense Cheat Sheet - Defending with X-Frame-Options Response Headers

X-Frame-Options HTTP 响应标头可用于指示是否应允许浏览器以 或 呈现页面。网站可以使用它来避免点击劫持攻击,方法是确保其内容不会嵌入到其他网站中。为所有包含 HTML 内容的响应设置 X-Frame-Options 标头。可能的值为“DENY”、“SAMEORIGIN”或“ALLOW-FROM uri”

【讨论】:

    猜你喜欢
    • 2017-11-19
    • 1970-01-01
    • 1970-01-01
    • 2012-02-13
    • 2014-01-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多