Django的X-Frame-Options设置

最新推荐文章于 2024-07-17 11:32:34 发布
最新推荐文章于 2024-07-17 11:32:34 发布
阅读量9.4k 收藏 23
点赞数 11
分类专栏: Django 文章标签: django python X-Frame-Options
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cn_newer/article/details/103866410
版权

Django的X-Frame-Options设置

1. 事件起因

事件的起因是这样的,我在使用Django服务的时候,想在一个已经存在某个按钮的主页面上,单击这个按钮弹出某个功能页面,设置某些内容,然后再退回到主页面。
我使用了某个插件,在弹出的页面上显示我请求的链接被服务器拒绝。
在使用浏览器调试的console页面中有如下的提示信息:Refused to display '页面url' in a frame because it set 'X-Frame-Options' to 'deny'.
那么就知道是是X-Frame-Options设置出了问题。

2. 有关X-Frame-Options

2.1 什么是X-Frame-Options

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

2.2 X-Frame-Options选项

X-Frame-Options 有三个值:

  • DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许
  • SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示
  • ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。
另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

3.Django有关配置

3.1 Django默认的配置

首先,Django起禁止X-Frame-Options,使用默认设置了相关的配置。
在项目的setting.py页面中能够找到如下的设置:

MIDDLEWARE = [
	...
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ...
]

上面的内容显示,Django的项目中默认设置了XFrameOptionsMiddleware的中间件,这个设置将对于X-Frame-Options的配置设置成了DENY
在Django 3.0中,X_FRAME_OPTIONS的默认设置从SAMEORIGIN 变成了DENY

3.2 Django总体配置

想要总体设置项目的X-Frame-Options可以使用如下的代码:

X_FRAME_OPTIONS = 'SAMEORIGIN'

可以看出上面的是将X_FRAME_OPTIONS设置成SAMEORIGIN,但是这个改变了整个项目的设置,往往只有某些页面才需要这样的设置,因此下面介绍在单独的页面上设置这些内容。

3.3 指定的网页配置

直接看代码:

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_exempt
from django.views.decorators.clickjacking import xframe_options_deny
from django.views.decorators.clickjacking import xframe_options_sameorigin


@xframe_options_exempt
def view_one(request):
	return HttpResponse("This page is safe to load in a frame on any site.")


@xframe_options_deny
def view_two(request):
	return HttpResponse("I won't display in any frame!")

@xframe_options_sameorigin
def view_three(request):
	return HttpResponse("Display in a frame if it's from the same origin as me.")

从上面的相应和名称能够很容易看出分别的含义,不在更详细描述。

4. 参考内容

  1. https://zhidao.baidu.com/question/502193450915313244.html
  2. https://docs.djangoproject.com/en/3.0/ref/clickjacking/
cn_newer
关注
  • 11
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Django-2.2.9.rar
06-06
2. **安全增强**:增加了对HTTP标头的管理,如X-Content-Type-Options、X-Frame-Options和X-XSS-Protection,以防止跨站脚本(XSS)和内容嗅探攻击。 3. **升级的模板系统**:模板引擎现在支持Python 3.7的f-string...
django-1.8tar.gz
10-31
在安全性方面,Django 1.8 强化了CSRF(跨站请求伪造)保护,并提供了更多的安全中间件,如X-Frame-Options,以防止点击劫持攻击。此外,该版本还改进了密码哈希算法,提高了用户密码的安全性。 管理界面(admin)...
springsecurity中处理框架页
jackyrongvip的专栏
02-18 351
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;, &lt;/iframe&gt; 或者 &lt;object&gt; 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 使用 X-Frame-Option...
安全头响应头(二)​X-Frame-Options
dzqxwzoe的博客
06-14 1055
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
django-设置X-Frame-Options响应头防止点击劫持攻击
adminwg的博客
10-16 1808
当恶意网站欺骗用户点击另一个网站的隐藏元素时,就会发生这种类型的攻击,该元素已被加载到一个隐藏的框架或 iframe 中。现代浏览器支持X-Frame-OptionsHTTP 头,它表明是否允许在框架或 iframe 中加载资源。如果你想为这个头设置任何其他的值,可以在配置文件中设置其他的值。HTTP 头只有在响应中还没有出现的情况下,才会被中间件或视图装饰者设置。默认情况下,该中间件将为每个传出的响应设置。”按钮,并在不知情的情况下购买该商品。要为你的网站的所有响应设置相同的。”按钮,并在一个透明的。
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2499
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
X-Frame-Options配置
热门推荐
-JackoChan
08-23 2万+
因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
x-frame-options
xiaoyounihao的博客
03-29 313
https://newsn.net/say/x-frame-options-and-iframe.html
Python-非官方安全后端Django
08-10
5. **HTTP头安全**:Django默认设置了许多重要的HTTP安全头,如X-Content-Type-Options、X-Frame-Options等。 ### 非官方安全后端 非官方的安全后端可能是对Django框架的扩展或插件,它们可能提供了以下增强功能:...
Django-1.9.tar.gz
12-11
此外,该版本强化了CSRF(跨站请求伪造)保护,通过自动设置`X-Frame-Options`头部来防止点击劫持攻击。 Django 1.9的表单和字段处理也有显著提升。表单验证错误现在可以关联到特定的字段,使错误信息的显示更加...
PyPI 官网下载 | django-security-0.11.3.tar.gz
01-10
3. **HTTP头部强化**:设置安全相关的HTTP头部,如`Content-Security-Policy`,`X-Frame-Options`,`X-XSS-Protection`,`X-Content-Type-Options`等,以限制浏览器的行为,防止某些类型的攻击。 4. **点击劫持防护...
配置您的 Web 服务器以包含 X-Frame-Options 标头
weixin_45816407的博客
05-09 2349
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
Django middleware django.middleware.clickjacking.XFrameOptionsMiddleware
userguanguan的专栏
07-24 4804
from django.conf import settings class XFrameOptionsMiddleware(object): """ Middleware that sets the X-Frame-Options HTTP header in HTTP responses. Does not set the header if it's alread
django3集成django-mdeditor报 ‘X-Frame-Options‘ 错误
轻编程的博客
12-25 550
背景 使用django3进行开发时,由于项目前端页面使用iframe框架,浏览器错误提示信息如下: Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'根据提示信息发现是因为X-Frame-Options=deny导致的。 X-Frame-Options是什么? The X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 可否在 <frame>, &l
X-Frame-Options响应头配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应头配置详解
django 中间件 XFrameOptionsMiddleware 200318
鲸鱼编程-python全栈
03-24 1039
点击劫持:X-Frame-Options未配置、nginx配置X-Frame-Options响应头
更多内容查看博客描述。
04-26 1326
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
Django+vue自动化测试平台(28)-- ADB获取设备信息
最新发布
测试小老弟的博客
07-17 321
adb的全称为Android Debug Bridge,就是起到调试桥的作用。通过adb可以在Eclipse中通过DDMS来调试Android程序,说白了就是调试工具。adb的工作方式比较特殊,采用监听Socket TCP 5554等端口的方式让IDE和Qemu通讯,默认情况下adb会daemon相关的网络端口,所以当我们运行Eclipse时adb进程就会自动运行。
Header always set X-Frame-Options SAMEORIGIN含义
12-20
Header always set X-Frame-Options SAMEORIGIN的含义是将X-Frame-Options协议头设置为SAMEORIGIN。这意味着该页面只能在相同的域名下的框架中加载,而不能在其他域名下的框架中加载。 这个设置可以防止点击劫持攻击,点击劫持攻击是一种黑客攻击技术,通过将恶意网站嵌入到一个透明的iframe中,诱使用户在不知情的情况下点击了恶意网站上的某些内容。通过设置X-Frame-Options为SAMEORIGIN,可以确保页面只能在相同域名下的框架中加载,从而防止点击劫持攻击。 范例:<<引用:通常,这个中间件会为任何开放的HttpResponse设置X-Frame-Options协议头为SAMEORIGIN。如果你想用DENY来替代它,要设置X_FRAME_OPTIONS: X_FRAME_OPTIONS = 'DENY' 。 引用:使用这个中间件时可能会有一些视图,你并不想为它设置X-Frame-Options协议头。对于这些情况,你可以使用一个视图装饰器来告诉中间件不要设置协议头: from django.http import HttpResponse from django.views.decorators.clickjacking import xframe_options_exempt @xframe_options_exempt def ok_to_load_in_a_frame(request): return HttpResponse("This page is safe to load in a frame on any site.") 为每个视图设置 X-Frame-Options 。>> Header always set X-Frame-Options SAMEORIGIN的含义是将X-Frame-Options协议头设置为SAMEORIGIN。这意味着该页面只能在相同的域名下的框架中加载,而不能在其他域名下的框架中加载。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值