自己的网页被别人iframe里怎么办?

最新推荐文章于 2024-06-25 22:12:59 发布
最新推荐文章于 2024-06-25 22:12:59 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: Web安全 文章标签: X-Frame-Options 嵌套网页 禁止嵌套网页
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fd2025/article/details/124466725
版权

先介绍以下自己的网页被别人IFrame有什么危害?

可以使用Iframe进行点击劫持

iframe 标签:可以创建包含另外一个文档的内联框架

我们首先看到一个美女照片,可以点击按钮玩游戏
在这里插入图片描述
但是你没想到的是,按钮下面有其他的网页,只不过把网页改成透明

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8" />
    <title></title>
    <meta http-equiv="X-Frame-Options" content="SAMEORIGIN / DENY " />
    <style>
      html,
      body,
      iframe {
        display: block;
        height: 100%;
        width: 100%;
        margin: 0;
        padding: 0;
        border: none;
      }

      iframe {
        opacity: 0.3;
        overflow: hidden;
      }
    </style>
  </head>
  <body>
    <iframe src="https://www.17173.com/"></iframe>
    <div style="position: absolute; top: 0; left: 0; bottom: 0; right: 0">
      <div style="position: relative; width: 300px; height: 500px">
        <img src="aa.png" width="300px" height="500px" />
        <button
          style="
            position: absolute;
            bottom: 0;
            left: 50%;
            transform: translate(-50%);
            width: 80px;
            height: 40px;
          "
        >
          点击玩游戏
        </button>
      </div>
    </div>
  </body>
</html>

在这里插入图片描述
如果点击玩游戏按钮下有其他按钮,比如点击输入银行卡密码和卡号,那将会很危险。

所以怎样才能防止别人把我们的网页通过iframe嵌入到别人的网页中呢?

首先介绍一个HTTP 头字段属性 X-Frame-Options

X-Frame-Options 有三个可选的值

1.DENY: 浏览器拒绝当前页面加载任何Frame页面;
2.SAMEORIGIN: frame页面的地址只能为同源域名下的页面;
3.ALLOW-FROM : 允许 frame加载的页面地址

防止自己网页被别人iframe嵌套方法

1.PHP防止方法

header('X-Frame-Options:Deny')

2.Nginx

在server http 或者 location 
add_header X-Frame-Options SAMEORIGIN

也可以加载location 中

location  /{
  add_header X-Frame-Options SAMEORIGIN
}
也可以是以下配置: 
add_header X-Frame-Options ALLOW-FROM https://opencss.cn/;
#允许单个域名
add_header X-Frame-Options "ALLOW-FROM http://lookcss.com/,https://opencss.cn/";
#允许多个域名

以下是在nginx中配置了 add_header X-Frame-Options Deny 的效果
在这里插入图片描述
在这里插入图片描述
从上面可以看出,响应头中多了 X-Frame0Options属性

3.Apache

Header always append X-Frame-Options SAMEORIGIN
半夏_2021
关注
专栏目录
使用iframe网页中嵌入其他网页的方法
01-21
iframe使用方法: 复制代码代码如下:<DIV align=center><IFRAME src=”<a>” frameBorder=0 marginwidth=0 marginheight=0 scrolling=no style=”width168:px;height:50px;” width=168 height=50 scrolling=no ALLOWTRANSPARENCY=”true”></IFRAME></DIV>   说明:这是一个嵌入含有天气预报的应用实例。这个
web前端安全性——iframe安全问题
qq_53911056的博客
02-22 768
iframe安全问题可称作界面劫持,像点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。原理是利用透明层iframe,使用了CSS中的opacity或z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。
项目中使用iframe嵌入外部网页时提示连接被拒绝
最新发布
weixin_42864357的博客
06-25 3566
X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在iframe标签,embed标签 或者 标签中展现的标记,浏览器拒绝当前页面加载任何Frame页面。即该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。即表示该页面可以在相同域名页面的frame中展示。为允许frame加载的页面地址。即表示该页面可以在指定来源的frame中展示。X-Frame-Options可用于指示是否应该允许浏览器呈现在一个页面。
禁止网站iframe嵌套的解决方法
不怕麻烦的鹿丸的博客
12-19 9290
有时候我们开发的网站可能会被别人利用嵌入到其他网站中,也就是别人镜像我们的网站,造成点击劫持风险。
解决iframe嵌套第三方网址不能访问
热门推荐
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
同源策略及其绕过详解
yufumusui的博客
12-06 5415
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
X-Frame-Options ALLOW-FROM 无效
u013595395的博客
03-23 6312
原因:谷歌浏览器较新版不支持ALLOW-FROM 办法:用另一个响应头Content-Security-Policy代替,配置其中的frame-ancestors netCore写法(Startup.cs) (1)旧 app.Use(async (context, next) => { context.Response.Headers.Add("X-Frame-Options", "ALLOW-FROM http://localhost:8080 http://localhost
前端实现绕过源服务器限制嵌入iframe并解决图片防盗链
qq_44910894的博客
08-03 1681
在使用iframe时出现Refused to frame xxxxxxxx because an ancestor violates the following Contentt Security Policy directive: "frame-ancestors" self的解决方法和图片防盗链的绕过方法
js防止页面被iframe调用的方法
01-19
有时候我们发会现自己的网站页面被别人调用并且一模一样,这个其实就是简单的iframe调用了,下面我来给大家介绍js防止页面iframe调用的方法总结吧,有需要的朋友可参考 二、解决方法: 防止自己的网页被人框架: top...
iframe嵌入网页的一部分
05-27
iframe嵌入网页的一部分, 拿别人网页为你所用
如何用iframe套用对方网页数据而又保持兼容的实现方法
11-21
网页开发中,有时我们需要将外部网页的数据或内容嵌入到我们的页面中,这时`iframe`(Inline Frame)标签就显得非常有用。`iframe`允许我们在一个HTML文档中嵌入另一个HTML文档,从而实现页面的组合。在标题和描述...
JS修改iframe页面背景颜色的方法
12-03
网页开发中,有时我们需要对页面中的元素进行动态操作,比如改变其背景颜色。当涉及到嵌入的`iframe`(Inline Frame)时,由于...了解这些知识点,开发者可以更好地控制和自定义网页中的`iframe`元素,提升用户体验。
打破iframe安全限制的3种方案
web修理工
12-28 9895
转载:http://www.ayqy.net/blog/%E6%89%93%E7%A0%B4iframe%E5%AE%89%E5%85%A8%E9%99%90%E5%88%B6%E7%9A%843%E7%A7%8D%E6%96%B9%E6%A1%88/ 一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页
使用 <iframe /> 嵌套页面的一点总结
weixin_43714836的博客
11-22 1万+
iframe 标签嵌套页面,可能会遇到 x-frame-options 的值为 deny、sameorigin 情况,此时可能出现:xxx.xxx.xxx 拒绝了我们的连接请求。往往被嵌套页面的设置决定了是否能嵌套
防止网页被嵌入 iframe
weixin_64433668的博客
01-15 929
iframe 标签能将一个指定的 url 地址的网址展示在页面上。但是它同时造成了一些问题。由于 iframe 标签引用的网站在用户看来就像是当前网站的内容,这就给了一些人可乘之机。在以前,使用 iframe 标签嵌入他人的网站,然后在页面上加入病毒、广告等内容影响用户,由于 iframe 标签展示的内容与原网站十分相似,会给原网站作者带来负面影响。
iframe嵌套其他网站提示连接被拒绝
我的博客
06-08 1万+
最近开发项目中遇到了iframe嵌套页面,遇到了域名提示…拒绝了您的访问。报错:Refused to display ‘http://xxxxxxx/’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在或者中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点面,从而避免 点击劫持 攻击。
网站被强制注入JS,嵌入iframe弹窗广告
web修理工
06-05 1209
广告图片 被植入的代码 网页被嵌入了iframe标签以及不属于你自己的script标签 请求面多了很多莫名其妙的js 执行js还在报错。。。 解决方法 1.使用ssl证书加密【推荐,之后的方法治标不治本】 SSL证书免费申请流程,配置HTTPS重点是【免费】,我就是用的这个方法,之后就没有出现广告植入问题。 2.meta禁用iframe <meta http-equiv="X-Frame-Options" content="DENY"> 复制代码 3.js禁用iframe【列举一个】 &
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
iframe跨域安全
路过君的博客
08-25 4904
1.响应头X-Frame-Options 响应头X-Frame-Options是用来给浏览器指示允许一个页面可否在<frame>,<iframe>,<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到其他网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 支持的指令 DENY 表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示。
iframe拒绝嵌入网页
07-28
回答: 当一个网页设置了X-Frame-Options头部时,它可以控制是否允许其他网页将其嵌入到iframe中。X-Frame-Options有三个属性值:deny、sameorigin和allow-from uri。deny表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin表示该页面可以在相同域名页面的frame中展示。allow-from uri表示该页面可以在指定来源的frame中展示。\[2\]这样的设置可以防止点击劫持攻击,确保网站没有被嵌入到别人的站点面。\[3\]如果你遇到了iframe拒绝嵌入网页的情况,可能是因为该网页设置了X-Frame-Options头部,并且设置为deny或者allow-from uri限制了嵌入的来源。 #### 引用[.reference_title] - *1* [iframe嵌入微信公众号页面(有图片)](https://blog.csdn.net/linchui22/article/details/127384009)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Iframe嵌套拒绝接入](https://blog.csdn.net/weixin_43424325/article/details/125345672)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半夏_2021

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值