Linux云虚拟主机进行安全检测提示“host头部攻击和未携带x-frame-options漏洞”

问题描述

在对Linux系统的虚拟主机进行安全检测时，提示“存在host头部攻击和未携带x-frame-options的漏洞或安全风险”。

以下方案只适用于Linux系统的虚拟主机。

在htdocs/.htaccess文件中添加以下内容，避免该漏洞带来的风险。

注意：.htaccess文件是隐藏文件，需要将FTP工具设置成显示隐藏文件，才能查看隐藏文件，如何设置请参见常用FTP客户端显示隐藏文件的设置方法。

Header set X-Frame-Options SAMEORIGIN

说明：X-Frame-Options参数值的详情如下。

DENY 表示该页面不允许在frame中展示，即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示。

ALLOW-FROM uri 表示该页面可以在指定来源的frame中展示。

DENY	表示该页面不允许在frame中展示，即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN	表示该页面可以在相同域名页面的frame中展示。
ALLOW-FROM uri	表示该页面可以在指定来源的frame中展示。