0

我正在尝试解决我正在处理的使用 ColdFusion 11 的网站的点击劫持漏洞。不过,我似乎在生产网站上遇到了 URL 模式的问题。现在我有:

<filter-mapping>
    <filter-name>CFClickJackFilterSameOrigin</filter-name>
    <url-pattern>/CFIDE/administrator/*</url-pattern>
</filter-mapping>

<filter-mapping>
    <filter-name>CFClickJackFilterDeny</filter-name>
    <url-pattern>/ABC/*</url-pattern>
</filter-mapping>

第一部分是默认设置,但由于我不在站点中使用框架,我希望它默认拒绝其他任何内容。

我遇到的问题是我似乎无法正确获取 url 模式。在我的开发服务器上,我使用“ http://localhost/abc ”来访问我的工作版本。但是在生产站点上,URL 遵循“ https://abc.def.xyz.com ”模式。如果我使用“ABC”作为 url 模式,如上所述,它可以在开发站点上运行,但不能在生产站点上运行。所以,我显然遗漏了一些关于如何设置 url 模式的内容。我想如果我只使用 /*,我最终会锁定(拒绝)包括管理员在内的所有内容,这并不是我想要的。

我通常不必处理服务器设置等,但是这样做的人发生了事故并且在医院中,所以就离开了我。关于如何设置正确的 url 模式以使其正常工作的任何想法?

谢谢。

4

1 回答 1

0

从评论中推广

这些filter-mapping选项只允许您指定url-pattern 出现在域名之后的选项。这适用于您的开发服务器,但看起来您的生产服务器正在使用子域(出现在域名之前)。您需要通过您的网络服务器查看设置。也许X-Frame-Options改为发送标题。

来自 OWASP Clickjacking Defense Cheat Sheet - 使用 X-Frame-Options 响应标头进行防御

X-Frame-Options HTTP 响应标头可用于指示是否应允许浏览器以 或 呈现页面。网站可以使用它来避免点击劫持攻击,方法是确保其内容不会嵌入到其他网站中。为所有包含 HTML 内容的响应设置 X-Frame-Options 标头。可能的值为“DENY”、“SAMEORIGIN”或“ALLOW-FROM uri”

于 2016-11-15T12:58:55.283 回答