行使HTTP Headers 防止WEB进攻(一)
发布时间:2016-10-29 02:35:32 所属栏目:语言 来源:freebuf
导读:副标题#e# 得到如下头信息 如果你注意到,在响应信息中出现了一个X-Frame-Options 现在我们重新加载iframe,是得不到任何显示的 #p#副标题#e# 使用 Chrome的开发者模式,我们来看看背后隐藏的秘密。 在Firefox中 使用 开发者模式 在Firefox中加载iframe.htm
使用Chrome的开发者模式,我们来看看背后隐藏的秘密。 在Firefox中使用开发者模式 在Firefox中加载iframe.html页面,下面是控制台提示的错误信息 X-Frame-Options: SAMEORIGIN 有可能存在需要使用框架的情景。在此类情况下,就可以使用SAMEORIGIN值 打开home.php文件并添加如下代码
修改后代码如下 <?php session_start(); session_regenerate_id(); header("X-Frame-Options: sameorigin"); if(!isset($_SESSION['admin_loggedin'])) { header('Location: index.php'); } if(isset($_GET['search'])) { if(!empty($_GET['search'])) { $text = $_GET['search']; } else { $text = "No text Entered"; } } ?> <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Admin Home</title> <link rel="stylesheet" href="styles.css"> </head> <body> <div id="home"><center> </br><legend><text id=text><text id="text2">Welcome to Dashboard...</text> 从网页退出后重新登录,注意观察HTTP头信息 接下来,看看他们不同的工作原理 第一步加载相同的iframe.html,从下图中可以看出加载没有问题 我使用虚拟机打开Kali Linux并把文件放入其中,然后加载这个URL(http://localhost/sample/home.php) (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |