沈阳易势科技软件开发公司,做为一个成立10多年的老牌软件开发公司,各行各业的企业都差不多服务过。对于一般企业软件交付后只需要使用就可以了,但有一些企业需要每年都配合进行安全检测防护工作。其中常遇见的安全隐患就是点击劫持:X-Frame-OptionsHeader 未配置。那么这个问题该怎么解决呢,其实很简单,只需要在web.config的<system.webServer>节点内加入<httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> 就可以了,节点值设置为 SAMEORIGIN,表示页面可以在同域名页面的 frame 中嵌套,如果设置成 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。
Power By Eforces 辽B2-20150173-12
