[美团云] 公安部排查安全漏洞限期整改通知
尊敬的美团云用户:
根据公安部要求监管部门针对美团云用户进行了安全漏洞排查,检测发现您的域名
123456789.com 对应的主机存在安全漏洞,请您根据漏洞提示进行修补,我们会在 8 月 7 日后对您所属 ip 进行复查,如漏洞未修复会再次告知您修复漏洞并在 8 月 10 日再次复查,如未修复漏洞我们将暂时关停您所属 ip 业务。请您重视此次漏洞修复。
我们会持续关注您的服务器安全,为您提供优质、高效、经济、安全的服务,感谢您对美团云一直以来的支持。
如有任何疑问,您可以随时拨打电话:400-0800-170 或提交工单与我们联系
漏洞描述如下:
id:1
ip:
43.XXX.XXX.XXX漏洞 url:
https://123456789.com:443漏洞名称:X-Frame-Options 头未设置
概要:攻击者可以使用一个透明的、不可见的 iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。通过调整 iframe 页面的位置,可以诱使用户恰好点击 iframe 页面的一些功能性按钮上,导致被劫持。
详情描述:目标服务器没有返回一个 X-Frame-Options 头。
解决建议:修改 web 服务器配置,添加 X-frame-options 响应头。
赋值有如下三种:
( 1 ) DENY:不能被嵌入到任何 iframe 或 frame 中。
( 2 ) SAMEORIGIN:页面只能被本站页面嵌入到 iframe 或者 frame 中。
( 3 ) ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在 PHP 中加入:header(X-Frame-Options: deny);
美团云
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/473662
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.