nginx增加X-Frame-Options配置,防止页面被嵌套
一、X-Frame-Options配置添加
生产环境的网站都会添加防盗链,不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。
X-Frame-Options的值有三个:
- (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
- (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。
- (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。
nginx配置示例:add_header X-Frame-Options DENY;
nginx配置示例:add_header X-Frame-Options SAMEORIGIN;
nginx配置示例:add_header X-Frame-Options “ALLOW-FROM https://xxx.xxxxxx.com http://192.168.xx.xx:8080”;
<html>
<script src="js/jquery/jquery.js"></script>
<body >
<script>
var url = window.location.search;
var str="";
if (url.indexOf("?") != -1) {
str = url.substr(1);
console.log(str);
}
var iframe = document.createElement("iframe");
document.querySelector("body").appendChild(iframe);
iframe.setAttribute("allowTransparency","true");
iframe.setAttribute("width","1300");
iframe.setAttribute("height","800");
iframe.setAttribute("scrolling","no");
iframe.setAttribute("frameborder","0");
iframe.setAttribute("id","test4");
if(str===""){
console.log("http://ip:port");
iframe.setAttribute("src","http://ip:port");
}else{
console.log("http://ip:port?"+str);
iframe.setAttribute("src","http://ip:port?"+str);
}
</script>
</body>
</html>