使用HTTP 响应头信息中的 X-Frame-Options 属性防止网页被Frame

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量1.9k 收藏
点赞数
分类专栏: java 文章标签: 运维 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishuai05251986/article/details/84885043
版权

防止网页被Frame,方法有很多种;

方法一:常见的比如使用js,判断顶层窗口跳转:

js 代码:
  1. (function(){
  2. if(window != window.top){
  3. window.top.location.replace(window.location);//或者干别的事情
  4. }
  5. })();

一般这样够用了,但是有一次发现失效了,看了一下人家网站就是顶层窗口中的代码,发现这段代码:

js 代码:
  1. var location = document.location;
  2. // 或者 var location = "";

轻轻松松被破解了,悲剧。

 

注:此方式破解对IE6,IE7,IE9+、Chrome、firefox无效; 感谢@genify@_Franky 补充斧正。

方法二:meta 标签:基本没什么效果,所以也放弃了:

html 代码:
  1. <metahttp-equiv="Windows-Target"contect="_top">

方法三:使用HTTP 响应头信息中的 X-Frame-Options属性

使用 X-Frame-Options 有三个可选的值:

  1. DENY:浏览器拒绝当前页面加载任何Frame页面
  2. SAMEORIGIN:frame页面的地址只能为同源域名下的页面
  3. ALLOW-FROM:origin为允许frame加载的页面地址

绝大部分浏览器支持:

FeatureChromeFirefox (Gecko)Internet ExplorerOperaSafari
Basic support4.1.249.1042 3.6.9 (1.9.2.9)8.010.54.0

具体的设置方法:

Apache配置:

html 代码:
  1. Header always append X-Frame-Options SAMEORIGIN

nginx配置:

html 代码:
  1. add_header X-Frame-Options SAMEORIGIN;

IIS配置:

html 代码:
  1. <system.webServer>
  2. ...
  3.  
  4. <httpProtocol>
  5. <customHeaders>
  6. <addname="X-Frame-Options"value="SAMEORIGIN"/>
  7. </customHeaders>
  8. </httpProtocol>
  9.  
  10. ...
  11. </system.webServer>

具体可以查看:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header

lishuai05251986
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP X-Frame-Options 防止iframe内框架调用
每天进步一点点
01-29 2万+
X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面  或 . 以确保网站内容是不是嵌入到其它网站.      X-Frame-Options" content="SAMEORIGIN / DENY ">  X-Frame-Options     使用X-Frame-Options 有两种可能的值:  DENY :该
关于nginx的HTTP Response响应字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 1794
关于nginx的HTTP Response响应字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
HTTP 响应 X-Frame-Options
sayyy的专栏
10-14 4391
将kylin嵌入iframe
ck978105293的博客
09-16 304
kylin version 2.6.6 vim tomcat/conf/web.xml 加入关于X-Frame-Options的filter配置,从而允许跨域的iframe的请求。 <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter&lt
安全响应(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1107
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
HTTP 配置响应部 X-Frame-Options
qq_36856047的博客
09-09 4810
目标服务器没有返回一个X-Frame-Options。 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 添加X-frame-options响应。 赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe。 (2)SAMEORIGIN:页面只能被本站页面嵌入到ifram
X-Frame-Options响应配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应配置详解
HTTP响应之X-Frame-Options
richardman的专栏
06-13 2829
X-Frame-Options: DENY 由于在iframe.html <!DOCTYPE html> <html> <head> <title>iframe</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0">
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
如果一个网站没有设置X-Frame-Options,那么它的内容可能被任意网站嵌入到`iframe`。这可能会引发以下问题: 1. **点击劫持攻击**:攻击者可以创建一个包含目标网站iframe的页面,利用用户的信任诱导其点击看似...
iis、apache、nginx使用X-Frame-Options防止网页Frame的解决方法
09-30
X-Frame-Options 是一种网络安全策略,它通过设置HTTP响应来控制浏览器是否可以在iframeframe标签展示页面内容。这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用透明iframe覆盖目标网页,诱使...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
修复X-Frame-Options未配置的漏洞主要涉及在服务器配置文件添加相应的响应。以下是一些常见服务器的配置方法: - **Apache**:在Apache的`.htaccess`或`<VirtualHost>`、`<Directory>`等配置段使用`Header`...
X-Frame-Options相关文件
08-27
Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options,或者设置了值为'deny'的X-Frame-Options,这表明该网页不允许被嵌入到任何其他页面的框架。'deny'是X-Frame-Options...
禁止iframe技术:X-Frame-Options frame-ancestors
sh2018的博客
10-24 1万+
X-Frame-Options DENY:禁止iframe SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护 ALLOW-FROM: https://example.com:白名单限制 但这个缺陷就是chrome、Safari是不支持ALLOW-FROM语法! php代码如下: header("X-Frame-Options: allow-from http://...
使用HTTP响应X-Frame-Options防止网页Frame
Just do IT
08-02 2万+
有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP的X-Frame-Options信息。 X-Frame-Options 响应有三个可选的值: DENY:页面不能被嵌入到任何iframeframe; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame; ALLOW-FROM:页面允许frameframe加载。
Web安全漏洞 之 X-Frame-Options响应配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http响应信息属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应有三个可选的值:DENY:页面不能被嵌入到任何iframeframe;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
apache iis 使用HTTP 响应信息的 X-Frame-Options属性
IT技术宅-北方的刀郎
08-29 2093
原文:https://www.jb51.net/article/109436.htm 方法三:使用HTTP 响应信息的 X-Frame-Options属性 使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址...
X-Frame-Options响应防点击劫持
道阻且长,行则将至。
02-21 5314
在一些漏扫设备经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
X-Frame-Options简介
顺其自然~专栏
09-13 3567
表示该页面可以在相同域名页面的 frame 展示。在支持旧版浏览器时,页面可以在指定来源的 frame 展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面同样会无法加载。表示该页面不允许在 frame 展示,即便是在相同域名的页面嵌套也不允许。表示该页面不允许在frame展示,即便是在相同域名的页面嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame展示。,那么页面就可以在同域名页面的 frame 嵌套。
springboot 响应 增加X-Frame-Options
12-30
在Spring Boot,你可以通过添加自定义过滤器来设置响应的X-Frame-Options...这两种方法都会在每个请求的响应添加X-Frame-Options字段,并将其值设置为SAMEORIGIN,以防止页面被嵌套到其他网站的iframe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值