Nginx安全策略 “frame-ancestors ‘self‘“

已于 2023-11-29 17:23:56 修改
阅读量2.7k 收藏 11
点赞数 7
分类专栏: Nginx 文章标签: nginx java javascript
于 2023-11-23 19:37:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xixi0864/article/details/134584856
版权

1、问题点:

其他平台项目使用免登录方式嵌入我们平台,被拒绝。

Refused to frame 'http://192.168.0.24:8886/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

2:前端嵌入iframe 时,有时汇报安全策略如下:

in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors ‘self’。

这里主要是 frame-ancestors的参数需要调整。

# 不允许被嵌入,包括<frame>, <iframe>, <object>, <embed> 和 <applet>
Content-Security-Policy: frame-ancestors 'none'
# 只允许被同源的页面嵌入
Content-Security-Policy: frame-ancestors 'self'
# 只允许被白名单内的页面嵌入
Content-Security-Policy: frame-ancestors www.example.com

3:解决

这个问题明显是NGinx配置可以解决,加入白名单。问题在修改后一直不生效。这里要注意测试浏览器缓存和本地cookie。通过以下修改可以解决

在nginx的 nginx.conf 的http或者service  加入安安全策略

add_header X-Frame-Options           "ALLOW-FROM http://10.0.0.22:9999/";
add_header Content-Security-Policy "frame-ancestors http://10.0.0.22:9999/";

如果不想其他平台使用iframe嵌入我们自己的平台,则配置如下

add_header Content-Security-Policy "default-src * data: 'unsafe-inline'  blob: 'unsafe-eval';frame-src 'self'; frame-ancestors 'self'  http://*";

 3:重新加载Nginx的配置文件

nginx -s reload

西西o
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx1.23.2-麒麟-aarch64
11-30
- 配置文件通常位于`/etc/nginx/nginx.conf`,用户可以通过修改配置来定制服务器行为,如设置虚拟主机、调整缓存策略等。 - 命令行工具如`nginx -t`用于测试配置文件的正确性,`nginx -s reload`则用于在不中断...
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_77116622的博客
04-12 1445
style-src | 控制CSS样式表的加载来源,防止加载恶意样式表。| report-uri | 指定报告异常信息的URI,方便管理员及时发现和处理安全问题。| upgrade-insecure-requests | 要求浏览器将所有HTTP请求升级为HTTPS请求,提高安全性。| sandbox | 对页面中的某些元素进行限制,防止恶意代码对其进行操作。
frame-ancestors 'self'
吕小仙的欧巴的博客
12-30 7801
做iframe的时候渲染突然给我报了个错 in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors ‘self’ 赶紧去百度一下什么是Content Security Policy CSP ---- 内容安全策略 意思是限制iframe只能访问...
nginx 不允许 iframe嵌套报表问题解决
最新发布
dazhong2012的专栏
05-18 400
Nginx 不允许 iframe 的情况通常是由于 Nginx 配置中的 X-Frame-Options 指令导致的。如果 Nginx 配置为 X-Frame-Options: DENY,则不允许任何页面通过 iframe 嵌入;如果配置为 X-Frame-Options: SAMEORIGIN,则只允许来自同一源的页面通过 iframe 嵌入。编辑 Nginx 配置文件(通常是 nginx.conf 或者网站专用的配置文件,如 /etc/nginx/sites-available/your_site)。
解决vue前端iframe框架嵌套第三方网址拒绝访问
HD243608836的博客
04-16 2602
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
nginx安全策略问题
zhangiser的专栏
05-09 3172
不允许被嵌入,包括, , , 和 在nginxnginx.conf 的http 下面 加入安安全策略。这里主要是 frame-ancestors的参数需要调整。# 只允许被白名单内的页面嵌入。# 只允许被同源的页面嵌入。
点击劫持漏洞
Zeker62的博客
08-23 1721
目录什么是点击劫持?如何构建基本的点击劫持攻击使用预填表单输入进行点击劫持帧破坏脚本将点击劫持与 DOM XSS攻击相结合多步点击劫持如何防止点击劫持攻击X-Frame-Options内容安全策略 ( CSP )什么是点击劫持? 点击劫持是一种基于界面的攻击,通过点击诱饵网站中的一些其他内容,诱使用户点击隐藏网站上的可操作内容。考虑以下示例: 网络用户访问诱饵网站(可能这是电子邮件提供的链接)并...
iframe嵌入第三方链接页面不展示、cookie丢失等问题总结
热门推荐
dong__xue的博客
08-23 4万+
需求是这样的:有一个第三方开发的系统的页面需要嵌入到我们的项目中,对方提供了一个地址:http://ip:port/path?name=xxx&pw=xxx。 当我们想使用iframe来展示这个地址的时候,出现以下现象和错误: 并且控制台报错: Refused to frame 'http://10.65.78.23:30002/' because an ancestor violates the following Content Security Policy directive: "
iframe加载报错,不符合策略
wyk760629476的专栏
03-11 1659
问题详情: 问题描述:访问指定地址的url作为iframe内容,不符合策略报错 解决方方法:frame-src 'unsafe-inline' http: ; frame-ancestors 'self' http://*
Nginx添加安全策略
TomicSun的博客
07-06 2970
Nginx添加安全策略
win环境使用nginxnginx-http-flv-module.zip
08-24
在windows 7 64位 环境下使用nginxnginx-http-flv-module搭建flv视频流播放所有的安装包,参考:https://blog.csdn.net/qq_33071429/article/details/102628008
windows下编译nginx-http-flv-moudle
11-18
在Windows环境下编译`nginx-http-flv-module`是一项技术性的任务,主要目的是为了实现HTTP FLV协议的直播功能,使得用户可以通过浏览器中的FLVJS库或者无插件Flash播放器来观看直播内容。这个模块是Nginx的一个扩展...
windows平台nginx编译nginx-http-flv-module
03-28
在给定的压缩包文件中,"使用必看.txt"可能包含了编译和使用过程中的注意事项,而"nginx-rtmp.zip"可能是包含了RTMP模块的源代码,这在搭建流媒体服务器时也会用到,因为HTTP FLV Module通常与RTMP模块结合使用,为...
nginx-http-flv-module(windows版)
04-14
--> nginx-1.21.6 ======================== 在网上查找半天都只有教程,没有可免费下载的版本,深知没有积分遍地找资源的痛苦,无奈之下只好自己按照教程一步一个坑编译出来的,供大家免费下载使用。(无毒放心使用...
跨域原理及前端开发环境解决
weiweiweb888的博客
12-01 696
前端跨域
解决iframe嵌套第三方网址不能访问
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
uniapp中使用web-view报错“frame-ancestors-self
typ的blog,记录工作中的问题、学习中的笔记、生活中的感想。
03-07 423
使用了内容安全策略(Content Security Policy,CSP),其中包含了一个指令 “frame-ancestors ‘self’”,该指令限制了允许嵌套该网站内容的父级页面。因此,当尝试在一个不符合该策略的页面中嵌套该网站时,浏览器会拒绝加载该内容并显示这个错误信息。''报错 网页无法打开 位于https://xxx的网页无法加载,因为:net:ERR_BLOCKED_BY_RESPONSE"在想要跳转的网站页面,像网站管理者申请,设置允许该网站进行嵌套,跨域访问。这个错误提示表明网站。
an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘none‘”.
sqlora的专栏
09-01 2万+
一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页面都能够通过iframe嵌入: <iframe style="width: 800px; height: 600px;" src="https://github.com/join"/> Github 登录页并没有像百度首页一样
Nginx代理安全策略
_Clear
08-31 260
server {# 防止xss# 防劫持# 防劫持# 防劫持# HSTSpreload";
nginx Content-Security-Policy frame-ancestors 'self'
05-21
这个指令是用来设置 Content Security Policy(内容安全策略)的,其中 frame-ancestors 表示允许哪些页面嵌入当前页面的 frame 中,'self' 表示只允许同源的页面嵌入,也就是只有当前网站的页面可以嵌入当前页面的 frame 中。这个指令可以防止点击劫持等安全问题。如果需要允许其他网站嵌入当前页面的 frame 中,可以将 'self' 替换为其他网站的域名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西西o

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值