2个漏洞X-Frame-Options和Cookie without Secure flag

2.1Clickjacking:X-Frame-Options header missing
漏洞级别：低危
受影响的站点：

序号 受影响站点 截图
2 https://bpo.elite-club.net.cn/gmacsaic-bpo

漏洞危害：
未设置X-Frame-Options,可导致点击劫持漏洞，使得攻击者结合其他漏洞篡改网站页面后，用户点击时会在不知情的情况下请求其他服务，造成信息泄露或其他有害于用户的问题。
修复建议：
设置 X-Frame-Options参数为SAMEORIGIN或者Deny，或者设置ALLOW-FROM参数。
操作：
java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN

2.2Cookie without Secure flag set
漏洞级别：低危
受影响的站点：

序号 受影响站点 截图
1 https://bpo.elite-club.net.cn/gmacsaic-bpo


漏洞危害：
未设置Cookie的Secure值，导致其值在http协议下也能上传到服务器，可能被。与其他漏洞等结合，可导致访问控制失效。
修复建议：
设置 Cookie的Secure值为yes。
操作
Web.xml:
<session-config>
     <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure>
     </cookie-config>
   </session-config>