HTTP 配置响应头部 X-Frame-Options

最新推荐文章于 2024-09-13 14:07:08 发布
最新推荐文章于 2024-09-13 14:07:08 发布
阅读量4.8k 收藏 7
点赞数 1
分类专栏: java 问题 http 文章标签: spring http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36856047/article/details/120202787
版权
问题 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
java
5 篇文章 0 订阅
订阅专栏
http
1 篇文章 0 订阅
订阅专栏
本文介绍如何在Servlet拦截器中设置X-Frame-Options头来防止网页被恶意嵌入,探讨DENY、SAMEORIGIN和ALLOW-FROM策略,并重点讲解SAMEORIGIN选项的应用实例。
摘要由CSDN通过智能技术生成

目标服务器没有返回一个X-Frame-Options头。

攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

添加X-frame-options响应头。

赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

我用的是拦截器

import javax.servlet.*;
import java.io.IOException;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 拦截器-配置响应头部 X-Frame-Options
 * @author potato
 * @date 2021/9/8 11:04
 */
@WebFilter(filterName = "frameFilter", urlPatterns = "/*")
public class FrameConfig implements Filter {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        //必须
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        //实际设置
        response.setHeader("X-Frame-Options", "SAMEORIGIN");
//        response.setHeader("X-Frame-Options", "DENY");
        //调用下一个过滤器(这是过滤器工作原理,不用动)
        chain.doFilter(request, response);
    }

    public void init(FilterConfig config) throws ServletException {
    }

    public void destroy() {

    }
}

个人日常积累,仅供参考

行走的地瓜
关注
专栏目录
X-Frame-Options相关文件
08-27
X-Frame-Options HTTP响应头就是为了解决这个问题而引入的,它允许网站管理员控制他们的页面是否可以在其他站点的框架(frame或iframe)中显示。 描述中提到的"X-Frame-Options头缺失 in a frame because it set 'X...
HTTP 响应头 X-Frame-Options
sayyy的专栏
10-14 5035
X-Frame-Options响应配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应配置详解
Iframe时针对X-Frame-Options跨域问题
最新发布
ff的博客
09-13 331
当我们在一个网页中嵌套另一个域名的时候可能会出现跨域错误。这时需要调整x-frame-options参数。
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2558
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
将kylin嵌入iframe
ck978105293的博客
09-16 331
kylin version 2.6.6 vim tomcat/conf/web.xml 加入关于X-Frame-Options的filter配置,从而允许跨域的iframe的请求。 <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter&lt
HTTP响应头之X-Frame-Options
richardman的专栏
06-13 2872
X-Frame-Options: DENY 由于在iframe.html中 <!DOCTYPE html> <html> <head> <title>iframe</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0">
x-frame-bypass:绕过X帧选项
05-10
可以在网络请求的响应头部中手动删除或更改`X-Frame-Options`。 3. **代理服务器**:通过自定义代理服务器,可以在服务器端修改响应头,允许页面在IFrame中加载。 4. **JavaScript**:在某些情况下,攻击者可能利用...
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
X-Frame-Options头允许服务器告诉浏览器是否可以在 iframe 或 object 元素中加载页面。如果不设置此头部,攻击者就有可能利用这个漏洞将目标网站嵌入到他们的恶意网页中,从而实现点击劫持。通常,X-Frame-Options头...
Vue使用axios出现options请求方法
10-16
当请求的HTTP方法不是GET、HEAD、POST,或者请求头部包含自定义头部时,浏览器会先发送一个OPTIONS请求到服务器,询问服务器是否允许此次跨域请求。 在本例中,Vue应用中的axios.post()方法触发了这个OPTIONS请求。...
wordpress-nginx:WordPress特定的Nginx配置模板和最佳实践!
02-05
7. **安全配置**:添加如X-Frame-Options、Content-Security-Policy等HTTP头部,以增强网站的安全性。同时,可以通过限制IP访问或设置防火墙规则来防止DDoS攻击。 在实际部署中,你需要根据自己的环境调整配置文件...
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 5万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
X-Frame-Options响应头防点击劫持
道阻且长,行则将至。
02-21 7119
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
关于nginx的HTTP Response响应头字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 1898
关于nginx的HTTP Response响应头字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应头字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个头字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
Web安全漏洞 之 X-Frame-Options响应配置
xp_lx12的博客
06-13 4万+
原理】配置http响应头信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应头有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
浏览器跨域问题
hnht1989的博客
03-22 4173
浏览器跨域问题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdo
安全头响应头(二)​X-Frame-Options
wzj_110的博客
07-06 4399
Sources源形式。
使用HTTP 响应头信息中的 X-Frame-Options 属性防止网页被Frame
既是过河之卒,惟有奋力向前。
05-11 1958
防止网页被Frame,方法有很多种; 方法一:常见的比如使用js,判断顶层窗口跳转: js 代码: (function(){ if(window != window.top){ window.top.location.replace(window.location);//或者干别的事情 } })(); 一般这样够用了,但是有一次发现失效了,看了...
解决xxx in a frame because it set X-Frame-Options to sameorigin 问题之配置X-Frame-Options
超越的博客
06-03 9619
配置http响应头信息:属性名X-Frame-Options。 可以配置的参数有两个,选第二个参数就行了: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 /** * 配置“X-Frame-Options头” */ @WebFilter(filterName = "FrameFilter", urlPatterns = "/*") public class Fra
HTTP响应头部使用X-Frame-Options检查
07-25
HTTP响应头部的 X-Options 是一种安全头信息,用于防止页面被嵌入到 iframe 或其他页面中作为 frame 的一部分。这种攻击形式通常被称为点击劫持(Clickjacking),它允许恶意攻击者操纵用户的交互行为,使得用户实际上在不知情的情况下对攻击者的服务器发起请求。 ### X-Frame-Options 防止了网站内容被意外地或未经授权地放置在框架中。这对于保护网站免受点击劫持至关重要。通过设置此头部,网站可以指示浏览器是否以及如何显示其内容作为一个框架的一部分。 ### 设置方式 该头部支持三个值: - `DENY`:禁止将网页放入任何框架,这通常是推荐的安全策略。 - `SAMEORIGIN`:仅当源网址与当前网页来自相同的域名、协议和端口时,才允许将其放入框架。 - `ALLOW-FROM <uri>`:允许从指定的 URI 向前引用的内容放入框架。 例如: ```http X-Frame-Options: SAMEORIGIN ``` ### 实现示例 在 Web 开发中,可以通过应用服务器配置文件或者直接在 HTML 文件的 `<head>` 标签内添加 `<meta>` 标签的方式设置 X-Frame-Options。 对于使用 Node.js 和 Express 框架的项目,可以通过中间件来处理: ```javascript app.use((req, res, next) => { res.setHeader('X-Frame-Options', 'SAMEORIGIN'); next(); }); ``` ### 相关问题: 1. **为什么需要使用 X-Frame-Options**?解释为什么防止点击劫持对网站来说很重要。 2. **如何自定义 X-Frame-Options 的值**?列出所有可用选项及其含义。 3. **如何检测一个网站是否启用了 X-Frame-Options**?并解释其可能的影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行走的地瓜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值