保护我的ASP.net MVC3网站aganist“Click jacking”

Question

最近我正在翻阅网站面临的一些安全问题。幸运的是遇到了一个新的术语“点击顶”

我知道只有当我的网站可以在IFrame中加载时才会发生此攻击。

进一步调查有助于了解将“x-frame-options”设置为“DENY”会阻止该网站加载到IFrame中

但我不知道如何实现这个，因为我对这个领域很陌生？

Answer 1

在Global.asax中，您可以添加以下内容

protected void Application_BeginRequest(object sender, EventArgs e)
{
    HttpContext.Current.Response.AddHeader("x-frame-options", "SAMEORIGIN");
}

Answer 2

看看这个：

https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options#Configuring_Apache

它基本上是针对所有响应发送的响应标头。您可以为每个页面编写站点代码，但如果您能够编辑JUST YOUR SITE的配置，那么更好的方法是在那里处理它......

APACHE和IIS都应该有这个选项 - IIS似乎就在这里：

http://support.microsoft.com/kb/2694329

Answer 3

对于希望保护 .net 5.0 MVC / Razor 页面的人，请将以下内容添加到 Configure 中的 Startup.cs 方法中：

app.Use(async (context, next) =>
{
    context.Response.Headers.Add("X-Frame-Options", "DENY");
    await next();
});

链接

• OWasp DotNet Security Cheat Sheet
• Hanselman blog post on security headers