Question

我发现了一个与X-Frame-Options标题相关的有趣bug report。但我不明白这可能是安全问题。

以下代码作为漏洞证明：

require 'net/http'  
require 'uri'  
uri = URI.parse("https://play.google.com/#{"a" * 10000}")  
@r = Net::HTTP.get_response uri  
ret = @r.each_header {|x| puts x}  
if ret["x-frame-options"]  
  puts ret["x-frame-options"]  
else  
  puts "Missing x-frame-options!"  
end

但它正在尝试访问无效的网址（https://play.google.com/aaaaaaaaa..。）并返回错误页面。在响应中，缺少x-frame-options标头。我不明白这可能是一个安全漏洞（因为它是一个无效页面及其错误响应）？如何将其用于点击劫持？为什么错误响应也很重要也应该设置此标头？

Answer 1

您可以将以下行添加到.htaccess

Header always unset X-Frame-Options

错误响应中的X-Frame-Options标头

1 个答案: