nginx设置X-Frame-Options的两种方法

最新推荐文章于 2024-04-26 08:40:50 发布
最新推荐文章于 2024-04-26 08:40:50 发布
阅读量424 收藏
点赞数
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phplulu/article/details/127422696
版权

本文介绍nginx分别通过http和server设置 X-Frame-Options ,防止网站被别人用iframe嵌入使用。需要说明的是,只需用其中一个方法即可,在http配置代码块或server配置代码块里设置。

在http配置里设置X-Frame-Options 在server配置里设置X-Frame-Options 在http配置里设置X-Frame-Options 打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。

然后在http配置代码块里某一行添加如下语句即可:

add_header X-Frame-Options SAMEORIGIN;

如图所示:

在http配置里设置X-Frame-Options

添加后,重启nginx,命令是:

/usr/local/nginx/sbin/nginx -s reload 即可生效。

在server配置里设置X-Frame-Options 在server配置里设置X-Frame-Options跟在http配置里设置X-Frame-Options方法是一样的,同样是在server的配置代码块里添加如下语句即可:

add_header X-Frame-Options SAMEORIGIN;

在server配置里设置X-Frame-Options

添加后,重启nginx,命令是:

/usr/local/nginx/sbin/nginx -s reload 即可生效。

知识扩展 X-Frame-Options 响应头

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options 有三个值:

DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

林深见我
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx增加X-Frame-Options配置,防止页面被嵌套
yuanwai
05-31 7023
有时候站长不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。 下面是重点: NGINX
Nginx配置跨域--POST请求与OPTIONS
一只菜鸟夹
05-24 2383
为什么跨域与http的请求方法options有关系,因为当你跨域获取资源时,浏览会出于安全的考虑会先使用OPTIONS做请求,看能否正常返回,因为使用OPTIONS返回的是204状态码,无论是否正常返回页面都不会被跳转或者刷新。
配置OPTIONS方法服务器响应,nginx设置X-Frame-Options的两种方法
weixin_34746715的博客
08-09 3239
本文介绍nginx分别通过http和server设置 X-Frame-Options ,防止网站被别人用iframe嵌入使用。需要说明的是,只需用其中一个方法即可,在http配置代码块或server配置代码块里设置。在http配置里设置X-Frame-Options打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。然后在http配置代码块里某一行添加...
点击劫持:X-Frame-Options未配置、nginx配置X-Frame-Options响应头
最新发布
更多内容查看博客描述。
04-26 1531
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
nginx设置X-Frame-Options
zhaofuqiangmycomm的博客
03-05 9375
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。
Nginx配置跨域-http请求方法OPTIONS
热门推荐
hyneria_hope的博客
12-15 3万+
Nginx配置跨域 http请求方法OPTIONS 看到标题有点扯,为什么跨域与http的请求方法options有关系,因为当你跨域获取资源时,浏览会出于安全的考虑会先使用OPTIONS做请求,看能否正常返回,因为使用OPTIONS返回的是206状态码,无论是否正常返回页面都不会被跳转或者刷新 配置跨域 在server,location中添加如下代码,只要是OPTIONS请求时允许后续
HTTP 之 options预请求 nginx 解决跨域 postman调试跨域问题
wwj256的专栏
10-26 2980
预请求就是复杂请求(可能对服务器数据产生副作用的HTTP请求方法,如put,delete都会对服务器数据进行修改,所以要先询问服务器)。跨域请求中,浏览器自发的发起的预请求,浏览器会查询到两次请求,第一次的请求参数是options,以检测试实际请求是否可以被浏览器接受。
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
在不同服务器环境中,设置X-Frame-Options方法如下: **IIS(Internet Information Services)** - IIS 6:通过HTTP头设置。 - IIS 7及以上版本:可以编辑Web.config文件,添加以下代码: ```xml ... ...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options头有三种可能的值: 1. **DENY**:不允许任何域加载此页面,包括同一域下的页面。 2. **SAMEORIGIN**:仅允许同一源(域名、协议和端口相同)的页面在frame或iframe中加载此页面。 3. **ALLOW-FROM ...
ingress-nginx-controller-1.9.yaml
10-18
接下来,描述中提到的 "另外两个文件" 分别是 "nginx-tomcat-svc-ingress.yaml" 和 "nginx-tomcat-deploy.yaml"。前者是为一个基于 Nginx 的 Tomcat 应用创建 Ingress 规则的 YAML 文件,它定义了外部如何通过 ...
windows下编译nginx-http-flv-moudle
11-18
在Windows环境下编译`nginx-http-flv-module`是一项技术性的任务,主要目的是为了实现HTTP FLV协议的直播功能,使得用户可以通过浏览器中的FLVJS库或者无插件Flash播放器来观看直播内容。这个模块是Nginx的一个扩展...
nginx配置跨域--OPTIONS
uestczshen的专栏
03-15 737
这是根据跨域资源共享(CORS)规范定义的行为。在预检请求中,浏览器会发送一个 `OPTIONS` 请求,并携带一些跨域相关的头字段,如 `Origin`、`Access-Control-Request-Method`、`Access-Control-Request-Headers` 等。因此,当你在发送 `PATCH` 请求时,如果服务器没有正确配置跨域访问的相关响应头,浏览器会先发送一个 `OPTIONS` 请求进行预检,然后根据预检请求的响应头来决定是否继续发送实际的 `PATCH` 请求。
Nginx服务配置及相关模块
ll945608651的博客
04-14 959
Nginx(特点:占用内存少,并发能力强) Nginx是一个高性能的 HTTP 和反向代理服务器。 Nginx是一款轻量级的 Web 服务器/反向代理服务器及电子邮件 单台物理服务器可支持30 000~50 000个并发请求。
nginx 解决options跨域问题
2号自信的博客
01-26 8071
server { #listen 9201; listen 8014; server_name localhost; root C:/wnmp/Nginx/html; charset utf-8; #access_log logs/hvideo.access.log main; acces...
nginx 响应头详解
speechless fish 的博客
05-19 4424
1、add_header X-Frame-Options SAMEORIGIN; # DENY 表示该页面不允许在frame中展示,即使在相同域名的页面中嵌套也不允许,SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示,ALLOW-FROM url 表示该页面可以在指定来源的frame中展示 2、add_header X-Content-Type-Options: nosniff; 禁止服务器自动解析资源类型 3、add_header X-XSS-Protection "...
nginx 关于防护,安全,限流,动态黑名单的一些配置
lmq1993的博客
08-13 5128
1.关于动态黑名单 主要是定时查询访问日志,查询出访问频率较高的ip进行,加入黑名单 详情见我的上一篇文章nginx动态黑名单功能 2.避免网页被盗链 在http模块配置add_header X-Frame-Options SAMEORIGIN; 只允许相同域名iframe引入网页 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FR
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
Nginx 错误页面无法显示add_header设置的响应头
cybbink的博客
02-24 1467
Nginx 错误页面无法显示add_header设置的响应头 nginx在使用add_header指令设置了返回的请求头后 add_header X-Frame-Options "SAMEORIGIN"; 请求如果返回的是200的状态码,在返回的响应头中会包含设置的值 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Pnt6VnJt-1614156273183)(C:\Users\chenyaobin\AppData\Roaming\Typora\typora-user-im
nginx 设置X-Frame-Options
09-21
nginx设置X-Frame-Options可以通过在配置文件中添加以下代码实现: ```bash add_header X-Frame-Options SAMEORIGIN; ``` 这将向HTTP响应头中添加X-Frame-Options字段,并将其值设置为SAMEORIGIN,表示只允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值