禁止iframe技术:X-Frame-Options frame-ancestors

最新推荐文章于 2024-05-11 10:49:58 发布
最新推荐文章于 2024-05-11 10:49:58 发布
阅读量1.2w 收藏 7
点赞数
分类专栏: 其他
原文链接:https://www.cnblogs.com/iamstudy/articles/click_jacking_defense.html#_label0_2
版权

X-Frame-Options

DENY:禁止iframe
SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护
ALLOW-FROM: https://example.com:白名单限制

但这个缺陷就是chrome、Safari是不支持ALLOW-FROM语法!

php代码如下:

header("X-Frame-Options: allow-from http://lemon.tv");

 

frame-ancestors、frame-src

https://cloud.tencent.com/developer/section/1189865

frame-ancestors影响以下标签: <frame>,<iframe>,<object>,<embed>,或<applet>
需要注意的是: 此指令在<meta>元素或Content-Security-policy-Report-Only标题字段中不受支持

语法:
Content-Security-Policy: frame-ancestors <source>;
Content-Security-Policy: frame-ancestors <source> <source>;

其中<source>
1、设置为none,单引号是必须的,则类似deny
Content-Security-Policy: frame-ancestors 'none';
2、*.lemon.v,通配匹配
Content-Security-Policy: frame-ancestors 'none';

frame-src影响以下标签: <frame>,<iframe>,语法与frame-ancestors类似

php代码:

header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.tv;");

frame-srcframe-ancestors都存在的时候,会忽略frame-src

当时这个的缺陷就是IE不支持CSP!

 

结合使用

在chrome、firefox下,会因为frame-ancestors指令,忽略X-Frame-Options的设置
IE本身不支持CSP,所以只受X-Frame-Options影响

所以可以综合使用

header('X-Frame-Options: allow-from http://lemon.v');
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");

这样解决了一种情况:
业务还存在跨域的lemon.v去iframe,在测试的浏览器中能够达到想要的效果(有些版本未测试,可能有偏差).

另外探索了一下综合使用会出现的问题:

header('X-Frame-Options: deny');
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");

Safari支持CSP,但X-Frame-Options设置为deny,会受到它的影响,从而覆盖了frame-ancestors的设置

sh2018
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
x-frame-bypass:绕过X帧选项
05-10
`X-Frame-Options`头部的设置可以限制网页被其他站点以IFrame的方式加载,以保护用户的浏览安全。 标题“x-frame-bypass:绕过X帧选项”提示我们将讨论如何绕过这一安全机制。通常,`X-Frame-Options`有三个可能的值...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
同时,随着浏览器安全策略的演变,考虑使用更现代的安全特性,如Content Security Policy(CSP)的`frame-ancestors`指令,它可以提供更细粒度的控制,并且在X-Frame-Options不受支持的场景下提供额外保护。...
点击劫持:CSP frame-ancestors 缺失
ylldzz的博客
06-06 3286
Content Security Policy是一种网页安全策略,现代浏览器使用它来增强网页的安全性。
iframe加载报错,不符合策略
wyk760629476的专栏
03-11 1660
问题详情: 问题描述:访问指定地址的url作为iframe内容,不符合策略报错 解决方方法:frame-src 'unsafe-inline' http: ; frame-ancestors 'self' http://*
2024年最新Nginx配置Http响应头安全策略_nginx content-security-policy(1),2024年最新网络安全开发框架
最新发布
2401_84267735的博客
05-11 717
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。最后就是大家最关心的网络安全面试题板块。
安全头响应头(二)​X-Frame-Options
wzj_110的博客
07-06 4120
Sources源形式。
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
内容安全策略 (CSP)
allway2的博客
09-05 6199
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
除了X-Frame-Options,还可以使用Content-Security-Policy (CSP) 中的`frame-ancestors`指令来更精细地控制页面的嵌入行为。然而,X-Frame-Options是更简单且广泛支持的解决方案,适用于大部分情况。 此外,虽然...
X-Frame-Option.rar
09-15
标题中的“X-Frame-Option.rar”提示我们讨论的主题与防止点击劫持(Clickjacking)有关,这种攻击方式利用了浏览器的iframe功能。点击劫持是网络安全领域的一个重要问题,攻击者通过在透明或半透明的iframe层下隐藏...
【网络安全】Content Security Policy (CSP) 介绍
qq_43842093的博客
06-03 1803
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
frame-ancestors 'self'
吕小仙的欧巴的博客
12-30 7812
iframe的时候渲染突然给我报了个错 in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors ‘self’ 赶紧去百度一下什么是Content Security Policy CSP ---- 内容安全策略 意思是限制iframe只能访问...
frame越过另一个frame_每日漏洞 | X-Frame-Options
weixin_39656513的博客
11-29 241
注意: CSP Level 2 规范中的 frame-ancestors 指令会替代这个非标准的 header。CSP 的 frame-ancestors 会在 Gecko 4.0 中支持,但是并不会被所有浏览器支持。然而 X-Frame-Options 是个已广泛支持的非官方标准,可以和 CSP 结合使用。X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , ...
点击劫持漏洞
Zeker62的博客
08-23 1728
目录什么是点击劫持?如何构建基本的点击劫持攻击使用预填表单输入进行点击劫持帧破坏脚本将点击劫持与 DOM XSS攻击相结合多步点击劫持如何防止点击劫持攻击X-Frame-Options内容安全策略 ( CSP )什么是点击劫持? 点击劫持是一种基于界面的攻击,通过点击诱饵网站中的一些其他内容,诱使用户点击隐藏网站上的可操作内容。考虑以下示例: 网络用户访问诱饵网站(可能这是电子邮件提供的链接)并...
Nginx安全策略 “frame-ancestors ‘self‘“
可乐要加冰!!!
11-23 2898
nginx 的安全策略问题
前端页面安全——内容安全策略( CSP )
搞笑范fan
08-07 1600
官网地址:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 在浏览网页的过程中,尤其是移动端的网页,经常看到有很多无关的广告,其实大部分广告都是所在的网络劫持了网站响应的内容,并在其中植入了广告代码。为了防止这种情况发生,我们可以使用CSP来快速的阻止这种广告植入。而且可以比较好的防御dom xss。 前端页面使用方式: <meta http-equiv="Content-Security-Policy" content="script.
Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器
baiyongliang
05-23 8471
安全监测反馈如下: 有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。 X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframe或frame中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frame或frame...
an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘none‘”.
热门推荐
sqlora的专栏
09-01 2万+
一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页面都能够通过iframe嵌入: <iframe style="width: 800px; height: 600px;" src="https://github.com/join"/> Github 登录页并没有像百度首页一样
java能开启设置X-Frame-Options头为ALLOW-FROM
05-25
不可以。 X-Frame-Options 是一个 HTTP 响应头,用于控制网站在 iframe 中的加载行为,它有三个可选值:DENY、SAMEORIGIN 和 ALLOW-FROM。 其中,ALLOW-FROM 选项是在 HTML5 中定义的,但目前被大多数主流浏览器所不支持,因此在实际开发中,我们不能使用 ALLOW-FROM 选项来设置 X-Frame-Options 头。 如果需要在 Java 中设置 X-Frame-Options 头,可以使用 Servlet API 中的 HttpServletResponse 接口提供的 setHeader() 方法来设置。例如,可以使用以下代码将 X-Frame-Options 头设置为 DENY: ``` response.setHeader("X-Frame-Options", "DENY"); ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值