我正在尝试为我正在使用ColdFusion 11的网站解决点击劫持漏洞。虽然我似乎在生产网站上遇到了网址格式问题。现在我有:
<filter-mapping>
<filter-name>CFClickJackFilterSameOrigin</filter-name>
<url-pattern>/CFIDE/administrator/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>CFClickJackFilterDeny</filter-name>
<url-pattern>/ABC/*</url-pattern>
</filter-mapping>
第一部分是默认设置,但由于我不在网站中使用框架,我希望默认拒绝其他任何内容。
我遇到的问题是我似乎无法正确获取网址格式。在我的开发服务器上,我使用&#34; http://localhost/abc&#34;访问我的工作版本。但是,在生产网站上,网址遵循模式&#34; https://abc.def.xyz.com&#34;。如果我使用&#34; ABC&#34;作为url模式,如上所述,它适用于开发站点,但不适用于生产站点。所以,我显然错过了一些关于如何设置url模式的内容。我想如果我只使用/ *,我最终会锁定(拒绝)所有内容,包括管理员,这不是我想要的。
我通常不必在服务器设置等方面工作,但是那个人在事故中并且在医院,所以这就离开了我。有关如何设置正确的url模式以使其工作的任何想法?
感谢。
答案 0 :(得分:0)
从评论中推广
filter-mapping选项只允许您指定在域名之后出现的url-pattern 。这适用于您的开发服务器,但看起来您的生产服务器正在使用子域(出现在域名之前)。您需要通过Web服务器查看设置。也许发送X-Frame-Options标题。
来自OWASP Clickjacking Defense Cheat Sheet - Defending with X-Frame-Options Response Headers
X-Frame-Options HTTP响应标头可用于指示是否应允许浏览器在或中呈现页面。站点可以通过确保其内容未嵌入其他站点来使用此功能来避免Clickjacking攻击。为包含HTML内容的所有响应设置X-Frame-Options标头。可能的值是“DENY”,“SAMEORIGIN”或“ALLOW-FROM uri”