【发布时间】:2016-10-17 17:11:14
【问题描述】:
我正在尝试解决我正在处理的使用 ColdFusion 11 的网站的点击劫持漏洞。不过,我似乎在生产网站上遇到了 URL 模式的问题。现在我有:
<filter-mapping>
<filter-name>CFClickJackFilterSameOrigin</filter-name>
<url-pattern>/CFIDE/administrator/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>CFClickJackFilterDeny</filter-name>
<url-pattern>/ABC/*</url-pattern>
</filter-mapping>
第一部分是默认的,但由于我不在站点中使用框架,我希望它默认拒绝其他任何内容。
我遇到的问题是我似乎无法正确设置 url 模式。在我的开发服务器上,我使用“http://localhost/abc”来访问我的工作版本。但是在生产站点上,url 遵循模式“https://abc.def.xyz.com”。如果我使用“ABC”作为 url 模式,如上所述,它适用于开发站点,但不适用于生产站点。所以,我显然遗漏了一些关于如何设置 url 模式的内容。我想如果我只使用 /*,我最终会锁定(拒绝)包括管理员在内的所有内容,这并不是我想要的。
我通常不需要在服务器设置等方面工作,但是这样做的人出事了并且在医院里,所以就离开了我。关于如何设置正确的 url 模式以使其正常工作的任何想法?
谢谢。
【问题讨论】:
-
filter-mapping选项只允许您指定url-pattern出现在域名之后。这适用于您的开发服务器,但看起来您的生产服务器正在使用子域(在域名之前)。您需要通过您的网络服务器查看设置。也许改为发送X-Frame-Options标头。 -
更改 web.config 以发送 x-frame-options 标头对我有用。感谢您的帮助。
-
太好了,很高兴对您有所帮助。我会添加一个正确的答案,以便其他人在找到您的问题时可以看到它。