安全提示"X-Frame-Options头未设置"解决方法

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量4.2w 收藏 17
点赞数 9
分类专栏: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25934401/article/details/81384876
版权

安全提示"X-Frame-Options头未设置"

X-Frame-Options 响应头

X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。

危害:

攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

X-Frame-Options 响应头

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

使用 X-Frame-Options
X-Frame-Options 有三个值:

DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。
换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

Header always append X-Frame-Options SAMEORIGIN
配置 nginx

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

## 表示该页面可以在相同域名页面的 frame 中展示
add_header X-Frame-Options SAMEORIGIN;
## 表示该页面可以在指定来源的 frame 中展示
#add_header X-Frame-Options "ALLOW-FROM  http://domain.com";
配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

  <system.webServer>
  ...
  <httpProtocol>
  <customHeaders>
  <add name="X-Frame-Options" value="SAMEORIGIN" />
  </customHeaders>
  </httpProtocol>
  ...
  </system.webServer>
配置 TOMCAT

“点击劫持:X-Frame-Options未配置”
因为项目使用的是tomcat服务器,我们不可能在每个页面去添加:

response.addHeader("x-frame-options","SAMEORIGIN");

因此我们使用过滤器,代码如下:

  HttpServletResponse response = (HttpServletResponse) sResponse;
  response.addHeader("x-frame-options","SAMEORIGIN"); 
具体过滤器配置可以看我这篇博文,把这句
response.addHeader("x-frame-options","SAMEORIGIN");

加在里面就可以了;

http://blog.csdn.net/qq_35624642/article/details/72979056

结果

在 Firefox 尝试加载 frame 的内容时,如果 X-Frame-Options 响应头设置为禁止访问了,那么 Firefox 会用 about:blank 展现到 frame 中。也许从某种方面来讲的话,展示为错误消息会更好一点。
截图:
这里写图片描述

GeekXuShuo
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
nginx增加X-Frame-Options配置,防止页面被嵌套
yuanwai
05-31 7009
有时候站长不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。 下面是重点: NGINX
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
Web安全漏洞 之 X-Frame-Options响应配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http的响应信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
Web低危漏洞之缺少“X-XSS-Protection的处理方法
weixin_42715225的博客
09-12 1万+
前言 xss攻击会导致网站的低危漏洞,需要进行防护 漏洞呈现 解决 方法一: PHP配置设置 在Header.php文件中添加如下内容: ··· … … header( “X-XSS-Protection: 1” ); … … ··· 方法二: nginx配置设置 ... ... server { ... ... add_header X-XSS-Protection 1; ... ... 结语 … … ...
安全响应(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1055
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
【已解决】IIS环境检测到网站存在响应缺失、禁用Options方法解决跨域攻击等不安全
wangjunlei的专栏
04-16 1293
4、检测到目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应缺失 IIS设置。1、检测到目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测到目标X-XSS-Protection响应缺失。
360网站安全提示"X-Frame-Options头未设置"怎么解决
QC班长的博客
06-10 2万+
X-Frame-Options 响应 X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
nginx设置X-Frame-Options的两种方法
thlzjfefe的博客
03-22 1万+
本文介绍nginx分别通过http和server设置X-Frame-Options,防止网站被别人用iframe嵌入使用。需要说明的是,只需用其中一个方法即可,在http配置代码块或server配置代码块里设置。 在http配置里设置X-Frame-Options 在server配置里设置X-Frame-Options 在http配置里设置X-Frame-Options 打开nginx....
add_header X-Frame-Options "SAMEORIGIN";NGINX
weixin_33834075的博客
08-03 8001
NGINX配置文件中 server { } 中添加add_header X-Frame-Options "SAMEORIGIN";防止该网站页面被其他网站嵌套,我们可以通过下面的工具进行测试:http://www.w3school.com.cn/tiy/t.asp?f=html_frame_cols 编辑html代码,嵌套要测试的网站页面:<html&gt...
【Nginx】增加X-Frame-Options配置防止页面被嵌套(点击劫持)
姜太小白的博客
05-11 3983
X-Frame-Options X-Frame-Options 有三个值: DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。 nginx配置X-Frame-Options 配置文件一般在nginx/conf/nginx.conf中 add_header X-Frame-Options SAMEO...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
在不同的编程语言中设置X-Frame-Options响应方法如下: - PHP: ```php header('X-Frame-Options: Deny'); ``` - ASP.NET: ```csharp Response.AddHeader("X-Frame-Options", "Deny"); ``` - ASP: ``` ...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
- **IIS**:在Web.config文件的`<httpProtocol>`节点下,增加`<customHeaders>`并设置`<add name="X-Frame-Options" value="SAMEORIGIN" />`。 - **Tomcat**:对于基于Tomcat的Java应用,可以创建一个过滤器,添加`...
X-Frame-Options相关文件
08-27
描述中提到的"X-Frame-Options缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options,或者设置了值为'deny'的X-Frame-Options,这表明...
iis、apache、nginx使用X-Frame-Options防止网页被Frame解决方法
09-30
<add name="X-Frame-Options" value="SAMEORIGIN" /> ... ``` 或者通过IIS管理界面进行设置。 **Apache** 在Apache服务器中,需要在相应站点的配置文件(如.htaccess或vhost配置)中添加以下行: ```apache...
X-Frame-Options响应配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应配置详解
X-Frame-Options to sameorgin
smile121621的博客
04-22 5730
简单来说就是当前域名不允许随便嵌套在别的域名下 X-Frame-Options 有三个值: 各自独立 DENY : 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.1.1.0/16; allow 2001:0db8::/32...
【笔记】nginx - 安全设置
LawssssCat的博客
11-19 2045
持续监控和管理 Nginx 的错误日志,就能更好的了解对 web 服务器的请求,注意到任何遇到的错误,有助于发现任何攻击尝试,并确定您可以执行哪些操作来优化服务器性能。默认情况下,Nginx 的 server tokens 会在错误页面显示 Nginx 的版本号,这可能会导致信息泄露,未经授权的用户可能会了解你使用的nginx版本。这样可以防止点击劫持攻击。自动安装的 Nginx 会内置很多模块,并不是所有的模块都需要,对于非必须的模块可以禁用,如 autoindex module ,下面展示如何禁用。
响应缺失、禁用Options方法解决跨域
m0_37642477的博客
09-02 7291
web安全响应
安全提示“X-Frame-Options头未设置”的解决方法
05-24
“X-Frame-Options” 是一个 HTTP 响应,用于防止网站被嵌入到其他网站的 iframe 中,从而防止点击劫持等安全攻击。如果你的网站没有设置信息,就会被浏览器认为存在安全风险。 为了解决这个问题,你可以在 Web 服务器上配置“X-Frame-Options响应。以下是几种常见的配置方法: 1. 设置 SAMEORIGIN:该选项允许网站在相同的域名下嵌入 iframe,但是不允许在其他域名下嵌入。在 Apache 服务器上,你可以在 .htaccess 文件中添加以下代码: ``` Header always append X-Frame-Options SAMEORIGIN ``` 在 Nginx 服务器上,你可以在配置文件中添加以下代码: ``` add_header X-Frame-Options SAMEORIGIN; ``` 2. 设置 DENY:该选项不允许任何网站嵌入 iframe。在 Apache 服务器上,你可以在 .htaccess 文件中添加以下代码: ``` Header always append X-Frame-Options DENY ``` 在 Nginx 服务器上,你可以在配置文件中添加以下代码: ``` add_header X-Frame-Options DENY; ``` 3. 设置 ALLOW-FROM:该选项允许特定的域名嵌入 iframe。在 Apache 服务器上,你可以在 .htaccess 文件中添加以下代码: ``` Header always append X-Frame-Options "ALLOW-FROM https://example.com/" ``` 在 Nginx 服务器上,你可以在配置文件中添加以下代码: ``` add_header X-Frame-Options "ALLOW-FROM https://example.com/"; ``` 请注意,ALLOW-FROM 选项在现代浏览器中已被淘汰,不再被支持。 通过设置“X-Frame-Options响应,你可以提高网站的安全性,防止点击劫持等安全攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值