阿里云首页

Linux云虚拟主机进行安全检测提示“host头部攻击和未携带x-frame-options漏洞”

问题描述

在对Linux系统的虚拟主机进行安全检测时,提示“存在host头部攻击和未携带x-frame-options的漏洞或安全风险”。

解决方案

以下方案只适用于Linux系统的虚拟主机。

  1. 使用FTP客户端连接Linux系统云虚拟主机,详情请参见使用FileZilla管理文件
  2. htdocs/.htaccess文件中添加以下内容,避免该漏洞带来的风险。
    注意.htaccess文件是隐藏文件,需要将FTP工具设置成显示隐藏文件,才能查看隐藏文件,如何设置请参见常用FTP客户端显示隐藏文件的设置方法
    Header set X-Frame-Options SAMEORIGIN
    说明:X-Frame-Options参数值的详情如下。
    DENY 表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
    SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示。
    ALLOW-FROM uri 表示该页面可以在指定来源的frame中展示。

适用于

  • 云虚拟主机
首页 Linux云虚拟主机进行安全检测提示“host头部攻击和未携带x-frame-options漏洞”