本文介绍了HTTP响应头字段X-Frame-Options的作用,防止clickjacking攻击,并详细讲解了Nginx配置该字段的四种方式。同时,针对iframe嵌入第三方服务如Grafana、Gitlab时遇到的限制,提出了通过配置Nginx反向代理或者修改第三方服务配置来解决CORS问题的方法。
什么是X-Frame-Options
HTTP有一个特殊的Response响应头字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个头字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页面点击登录按钮等等,造成页面短时间内登录动作频繁造成服务器有压力从而达到攻击目的。
nginx配置X-Frame-Options有四个参数:
1、DENY
表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
nginx配置示例:add_header X-Frame-Options DENY;
2、SAMEORIGIN
表示该页面可以在相同域名页面的frame中展示。
nginx配置示例:add_header X-Frame-Options SAMEORIGIN;
3、ALLOW-FROM url
表示该页面可以在指定来源的frame中展示。
nginx配置示例:add_header X-Frame-Options 'ALLOW-FROM https://xxx.xxxxxx.com';
‘’引号是必须要写的哦!
4、ALLOWALL
表示该页面允许全部来源域名的frame展示。
nginx配置示例:add_header X-Frame-Options ALLOWALL;
有时候我们需要允许多个url的来源,但是又不能全部开放,所以应该匹配第三种方法ALLOW-FROM url,那么多个url该如何配置呢,百度了所有网站都没有找到,那么这
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
