X-Frame-Options是网页常见漏洞之一,在其他的frame下加载你网页的内容,达到劫持的目的。
修复方法很简单,在http 请求投中添加X-Frame-Options参数。网上可以查一下Apache,IIS,nginx怎么加。
但是haproxy的添加不一样。具体如下:
在你的backend里面添加
rspadd X-Frame-Options:\ SAMEORIGIN
X-Frame-Options 有三个值:
DENY- 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN- 表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri- 表示该页面可以在指定来源的 frame 中展示