我有一个易受点击劫持漏洞攻击的网站。做一些研究,看起来像一个简单的方法是简单地将X-Frame-Options: SAMEORIGIN
添加到响应头。这是一个非常古老的Web应用程序(大约上次更新时间为2004年),并使用ASP.NET 2.0运行IIS 6。将自定义响应标题添加到web.config
在新版本中,我可以简单地添加以下部分到Web.config
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
这将是它的结束。但是,我似乎无法验证这是可能的使用IIS 6.
这是可能与IIS 6和ASP.NET 2.0只能在web.config
文件中完成?如果是这样,怎么样?如果不是,为了达到相同的结果,我需要做出哪些代码更改?简单地加
Context.Response.AddHeader("X-Frame-Options", "SAMEORIGIN");
到Global.asax#Application_EndRequest
就足够了吗?
是否有任何理由使用自定义模块,而不是我将它添加到Global.asax文件的第二种方法?我喜欢定制模块的想法,只是好奇是否有理由使用其中一个。 – Zymus
其实,我没有注意到这段代码。是的,尽管您可能想要定位['Application_PreSendRequestHeaders'](https://msdn.microsoft.com/en-us/library/system.web.httpapplication.presendrequestheaders(v = vs。 110).aspx)事件,因为它可能是一个更好的时间添加标题。 –