web安全:x-frame-options(防止网页被嵌套)头配置

最新推荐文章于 2024-05-23 09:39:30 发布
最新推荐文章于 2024-05-23 09:39:30 发布
阅读量3.8k 收藏
点赞数
分类专栏: web安全漏洞 文章标签: x-frame-options

转自:https://blog.csdn.net/TivonaLH/article/details/86307278

 

1.写一个过滤器

public class RequestFilter implements Filter {
    private  final static Logger log=Logger.getLogger("RequestFilter");
    @Override
    public void destroy() {
        // TODO Auto-generated method stub
        
    }
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        HttpServletRequest req=(HttpServletRequest)request;
        HttpServletResponse res=(HttpServletResponse)response;
        String method = req.getMethod();
        
        res.setHeader("x-frame-options", "SAMEORIGIN"); //
 
        //执行下一个过滤器
        chain.doFilter(request, response);
    }
 
    @Override
    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub
        
    }
 
    
 
}
2.项目中web.xml配置过滤器

    <filter>
          <filter-name>RequestFilter</filter-name>
          <filter-class>com.jz.fw_easyui.ss.filter.RequestFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>RequestFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
3.x-frame-options默认有三个值

DENY

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM

表示该页面可以在指定来源的 frame 中展示,即可以显示出URL

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。
 

唱响星河
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat设置响应:X-Frame-Options
weixin_34296641的博客
07-16 3971
2019独角兽企业重金招聘Python工程师标准>>> ...
X-Frame-Options
hjh_cos
10-30 7576
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应是用来给浏览器指示允许一个页面可否在<frame>,<ifr
X-Frame-Options响应配置详解
热门推荐
qq_37705525的博客
06-19 1万+
X-Frame-Options响应配置详解
X-Frame-Options缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
cc123489ll的博客
05-23 1163
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options,这意味着此网站存在遭受点击劫持攻击的风险。响应报可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 8131
host攻击漏洞,点击劫持漏洞,X-Download-Options响应缺失,X-Permitted-Cross-Domain-Policies响应缺失,Referrer-Policy响应缺失,Strict-Transport-Security响应缺失,Content-Security-Policy响应缺失,X-XSS-Protection响应缺失,X-Content-Type-Options响应缺失,会话cookie中缺少HttpOnly属性......
Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题
xqhys的博客
02-13 3228
转载:http://www.cnblogs.com/zmc/p/8260786.html spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面  ...
SpringSecurity默认限制iframe引用页面,导致X-Frame-Options deny
点滴记录
10-15 5886
Spring Security环境下X-Frame-Options默认为DENY 非Spring Security环境下X-Frame-Options的默认大多也是DENY 这种情况下,浏览器拒绝当前页面加载任何Frame页面 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 S...
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
总的来说,理解和正确配置X-Frame-Options是保障网站安全防止点击劫持攻击的关键步骤,也是网站管理员必须重视的网络安全实践。通过设置合适的策略,可以有效地防止恶意第三方将你的页面嵌入到他们自己的框架中...
iis、apache、nginx使用X-Frame-Options防止网页Frame的解决方法
09-30
【X-Frame-Options详解及应用】 X-Frame-Options 是一种网络安全策略,它通过设置HTTP响应来控制浏览器是否可以在iframeframe标签中展示页面内容。这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用...
Django报错:Refused to display ‘http://xxx‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘
凡心所向,素履以往,生如逆旅,一苇以航。
01-15 2786
在Django中使用framework时报错:Refused to display ‘http://xxx’ in a frame because it set ‘X-Frame-Options’ to ‘deny’ 原因:项目中的“X_FRAME_OPTIONS”设置不对 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在frame 中展示 “X_FRAME_OPTIONS”有三个选项值: DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面
Django的X-Frame-Options设置
cn_newer
01-06 9450
Django的X-Frame-Options设置1. 事件起因2. 有关X-Frame-Options2.1 什么是X-Frame-Options2.2 X-Frame-Options选项3.Django有关配置3.1 Django默认的配置3.2 Django总体配置3.3 指定的网页配置4. 参考内容 1. 事件起因 事件的起因是这样的,我在使用Django服务的时候,想在一个已经存在某个按钮...
过滤器设置报x-Frame-Options限制iframe网页嵌套
kang1011的博客
11-13 961
过滤器设置报x-Frame-Options限制iframe网页嵌套 目的设置X-Frame-Options SAMEORIGIN 1:web.xml增加过滤器 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
配置您的 Web 服务器以包含 X-Frame-Options
weixin_45816407的博客
05-09 2303
X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
TongWeb相关http安全设置方式
web的博客
12-16 7134
一、X-Frame-Options响应配置 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。在TongWeb bin目录下external.vmoptions中设置该参数: -Dtongweb.X........
nginx设置X-Frame-Options
zhaofuqiangmycomm的博客
03-05 9287
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2493
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
django-设置X-Frame-Options响应防止点击劫持攻击
adminwg的博客
10-16 1796
当恶意网站欺骗用户点击另一个网站的隐藏元素时,就会发生这种类型的攻击,该元素已被加载到一个隐藏的框架或 iframe 中。现代浏览器支持X-Frame-OptionsHTTP ,它表明是否允许在框架或 iframe 中加载资源。如果你想为这个设置任何其他的值,可以在配置文件中设置其他的值。HTTP 只有在响应中还没有出现的情况下,才会被中间件或视图装饰者设置。默认情况下,该中间件将为每个传出的响应设置。”按钮,并在不知情的情况下购买该商品。要为你的网站的所有响应设置相同的。”按钮,并在一个透明的。
Clickjacking: X-Frame-Options header
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options部来限制网页在iframe中的显示方式。 X-Frame-Options部有三个可选值: 1. DENY:拒绝网页在任何iframe中显示。 2. SAMEORIGIN:只允许网页在相同域名下的iframe中显示。 3. ALLOW-FROM uri:只允许网页在指定的uri中的iframe中显示。 在nginx中,可以通过在http、server、location块中添加add_header指令来设置X-Frame-Options部。例如: ```shell server { add_header X-Frame-Options SAMEORIGIN always; } ``` 这样设置后,网页将只能在相同域名下的iframe中显示,从而防止Clickjacking攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值