使用X-Frame-Options防止网页被Frame

最新推荐文章于 2024-06-25 10:25:10 发布
最新推荐文章于 2024-06-25 10:25:10 发布
阅读量8.1k 收藏 1
点赞数
分类专栏: web 文章标签: X-Frame-Options frame
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwd0501/article/details/46699075
版权

防止被 FRAME 加载你的网站页面

1. meta 标签:很多时候没有效果,无视

meta http-equiv="Windows-Target" contect="_top"

2. js 判断顶层窗口跳转,可轻易破解,意义不大

function locationTop(){ if (top.location != self.location) { top.location = self.location; returnfalse; } return true; } locationTop();

破解:

// 顶层窗口中放入代码 var location = document.location; // 或者 var location = "";

3. header 控制,绝大部分浏览器支持

 

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame><iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

使用 X-Frame-Options

X-Frame-Options 有三个值:

DENY

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:


Header always append X-Frame-Options SAMEORIGIN

配置 nginx

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:


add_header X-Frame-Options SAMEORIGIN;

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:


<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

结果

在 Firefox 尝试加载 frame 的内容时,如果 X-Frame-Options 响应头设置为禁止访问了,那么 Firefox 会用 about:blank 展现到 frame 中。也许从某种方面来讲的话,展示为错误消息会更好一点。

 

参考文章:http://blog.sina.com.cn/s/blog_67196ddc0102v2pu.html,https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

东境物语
关注
专栏目录
x-frame-bypass:绕过X帧选项
05-10
X帧绕过 绕过x-frame-options
X-Frame-Options响应头防点击劫持
道阻且长,行则将至。
02-21 5880
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
cc123489ll的博客
06-25 643
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
使用HTTP响应头X-Frame-Options防止网页Frame
Just do IT
08-02 2万+
有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。 X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frameframe加载。
安全头响应头(二)​X-Frame-Options
wzj_110的博客
07-06 4252
Sources源形式。
Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 854
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
iis、apache、nginx使用X-Frame-Options防止网页Frame的解决方法
01-10
当然也是因为被360检测到了示"X-Frame-Options头未设置",根据360的提示与百度了一些网上的一些资料整理了下,完美解决问题。 首先看下360给出的方案,但么有针对服务器的具体设置,不是每个人对服务器都很懂啊。 ...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
使用 X-Frame-Options 防止被iframe 造成跨域iframe 提交挂掉
weixin_30768175的博客
07-14 138
Refusedtodisplay'http://www.***.com/login/doLogin.html'inaframebecauseitset'X-Frame-Options'to'SAMEORIGIN'. 触发原因:页面的返回头被设置X-Frame-Options SAMEORIGIN ,只能被同源的iframe 引用。跨域名的iframe 没法显示了。解...
nginx设置X-Frame-Options防止自己的网站被其他人iframe引入
wei042的博客
03-21 2851
nginx设置X-Frame-Options属性,防止网站被别人用iframe嵌入使用
frame越过另一个frame_每日漏洞 | X-Frame-Options
weixin_39656513的博客
11-29 264
注意: CSP Level 2 规范中的 frame-ancestors 指令会替代这个非标准的 header。CSP 的 frame-ancestors 会在 Gecko 4.0 中支持,但是并不会被所有浏览器支持。然而 X-Frame-Options 是个已广泛支持的非官方标准,可以和 CSP 结合使用。X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , ...
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 5万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
in a frame because it set ‘X-Frame-Options‘ to ‘deny‘ 问题解决
LeeTom208的博客
08-18 8122
in a frame because it set 'X-Frame-Options' to 'deny' 问题解决 我们先百度一下X-Frame-Options的中文文档 从上面我们可以看到既然该页面不允许在frame框架中展示,那我们就用新标签页的方式打开即可。这个有多种方法,前端修改,或者js来修改链接属性target="_blank",我项目是采用后端服务器代码的修改。 ...
微信点金计划
LouYQ0213的博客
07-06 1032
微信点金计划 官方文档:https://wx.gtimg.com/pay/download/goldplan/goldplan_product_description_v2.pdf 1、小票链接: (可打开正常打开) 2、小票请求头 Response Headers 中 X-Frame-Options要允许payapp.weixin.qq.com访问 X-Frame-Options: ALLOW-FROM https://payapp.weixin.qq.com/ (需要后端运维配置) 3、调试工具(测试
X-Frame-Options(点击劫持)
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
响应头未设置X-Frame-Options
weixin_46356409的博客
01-18 1629
通过设置’X-Frame-Options’响应头,可以防止网页被嵌入到其他网站中,从而提高网站的安全性。网站容易受到点击劫持攻击:如果没有设置’X-Frame-Options’,攻击者可以在其他网站中嵌入恶意代码,诱使用户在不知情的情况下点击网页上的按钮或链接,从而执行恶意操作。网站可能无法在iframe中正常显示:如果没有设置’X-Frame-Options’,浏览器可能会阻止网页被嵌入到其他网站中,导致网页无法在iframe中正常显示。
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页...
HTTP响应头部使用X-Frame-Options检查
最新发布
07-25
HTTP响应头部的 X-Options 是一种安全头信息,用于防止页面被嵌入到 iframe 或其他页面中作为 frame 的一部分。这种攻击形式通常被称为点击劫持(Clickjacking),它允许恶意攻击者操纵用户的交互行为,使得用户实际上在不知情的情况下对攻击者的服务器发起请求。 ### X-Frame-Options 防止了网站内容被意外地或未经授权地放置在框架中。这对于保护网站免受点击劫持至关重要。通过设置此头部,网站可以指示浏览器是否以及如何显示其内容作为一个框架的一部分。 ### 设置方式 该头部支持三个值: - `DENY`:禁止将网页放入任何框架,这通常是推荐的安全策略。 - `SAMEORIGIN`:仅当源网址与当前网页来自相同的域名、协议和端口时,才允许将其放入框架。 - `ALLOW-FROM <uri>`:允许从指定的 URI 向前引用的内容放入框架。 例如: ```http X-Frame-Options: SAMEORIGIN ``` ### 实现示例 在 Web 开发中,可以通过应用服务器配置文件或者直接在 HTML 文件的 `<head>` 标签内添加 `<meta>` 标签的方式设置 X-Frame-Options。 对于使用 Node.js 和 Express 框架的项目,可以通过中间件来处理: ```javascript app.use((req, res, next) => { res.setHeader('X-Frame-Options', 'SAMEORIGIN'); next(); }); ``` ### 相关问题: 1. **为什么需要使用 X-Frame-Options**?解释为什么防止点击劫持对网站来说很重要。 2. **如何自定义 X-Frame-Options 的值**?列出所有可用选项及其含义。 3. **如何检测一个网站是否启用了 X-Frame-Options**?并解释其可能的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东境物语

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值