禁止iframe技术:X-Frame-Options frame-ancestors

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量1.2w 收藏 7
点赞数
分类专栏: 其他
原文链接:https://www.cnblogs.com/iamstudy/articles/click_jacking_defense.html#_label0_2
版权

X-Frame-Options

DENY:禁止iframe
SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护
ALLOW-FROM: https://example.com:白名单限制

但这个缺陷就是chrome、Safari是不支持ALLOW-FROM语法!

php代码如下:

header("X-Frame-Options: allow-from http://lemon.tv");

 

frame-ancestors、frame-src

https://cloud.tencent.com/developer/section/1189865

frame-ancestors影响以下标签: <frame>,<iframe>,<object>,<embed>,或<applet>
需要注意的是: 此指令在<meta>元素或Content-Security-policy-Report-Only标题字段中不受支持

语法:
Content-Security-Policy: frame-ancestors <source>;
Content-Security-Policy: frame-ancestors <source> <source>;

其中<source>
1、设置为none,单引号是必须的,则类似deny
Content-Security-Policy: frame-ancestors 'none';
2、*.lemon.v,通配匹配
Content-Security-Policy: frame-ancestors 'none';

frame-src影响以下标签: <frame>,<iframe>,语法与frame-ancestors类似

php代码:

header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.tv;");

frame-srcframe-ancestors都存在的时候,会忽略frame-src

当时这个的缺陷就是IE不支持CSP!

 

结合使用

在chrome、firefox下,会因为frame-ancestors指令,忽略X-Frame-Options的设置
IE本身不支持CSP,所以只受X-Frame-Options影响

所以可以综合使用

header('X-Frame-Options: allow-from http://lemon.v');
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");

这样解决了一种情况:
业务还存在跨域的lemon.v去iframe,在测试的浏览器中能够达到想要的效果(有些版本未测试,可能有偏差).

另外探索了一下综合使用会出现的问题:

header('X-Frame-Options: deny');
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");

Safari支持CSP,但X-Frame-Options设置为deny,会受到它的影响,从而覆盖了frame-ancestors的设置

sh2018
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
忽略X-Frame-Options「ignore X-Frame-Options」-crx插件
03-15
解决谷歌等页面无法在iframe中引用的问题 X-Frame-Options HTTP响应头可用于指示是否允许浏览器在a中渲染页面<frame>要么<iframe> 。使用这个插件删除它! 支持语言:中文 (简体)
x-frame-bypass:绕过X帧选项
05-10
`X-Frame-Options`头部的设置可以限制网页被其他站点以IFrame的方式加载,以保护用户的浏览安全。 标题“x-frame-bypass:绕过X帧选项”提示我们将讨论如何绕过这一安全机制。通常,`X-Frame-Options`有三个可能的值...
X-Frame-Options防止网页放在iframe
weixin_33816821的博客
06-20 541
X-Frame-Options是什么?X-Frame-Options是一个HTTP标头(header),用来告诉浏览器这个网页是否可以放在iFrame内。例如:·X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM http://caibaojian.com/第一个例子告诉浏...
安全头响应头(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1129
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 1356
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同域名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
HTTP X-Frame-Options 防止iframe内框架调用
xinjiatao的专栏
12-27 1029
    -Frame-Options HTTP响应头是用来确认是否浏览器可以在frameiframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可...
frame-ancestors 'self'
吕小仙的欧巴的博客
12-30 7813
iframe的时候渲染突然给我报了个错 in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors ‘self’ 赶紧去百度一下什么是Content Security Policy CSP ---- 内容安全策略 意思是限制iframe只能访问...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
同时,随着浏览器安全策略的演变,考虑使用更现代的安全特性,如Content Security Policy(CSP)的`frame-ancestors`指令,它可以提供更细粒度的控制,并且在X-Frame-Options不受支持的场景下提供额外保护。...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
除了X-Frame-Options,还可以使用Content-Security-Policy (CSP) 中的`frame-ancestors`指令来更精细地控制页面的嵌入行为。然而,X-Frame-Options是更简单且广泛支持的解决方案,适用于大部分情况。 此外,虽然...
X-Frame-Option.rar
09-15
标题中的“X-Frame-Option.rar”提示我们讨论的主题与防止点击劫持(Clickjacking)有关,这种攻击方式利用了浏览器的iframe功能。点击劫持是网络安全领域的一个重要问题,攻击者通过在透明或半透明的iframe层下隐藏...
渗透测试CSP frame-ancestors、X-Frame-Options、Cookies with missing、Sensitive pages could be cached处理方案
weixin_39554889的博客
10-13 2127
项目介绍:前端VUE后端SpringBoot,部署环境Ubuntu,前端nginx部署渗透工具:Acunetix、burp suite professional渗透问题:Clickjacking: X-Frame-Options header missing提示:本人兼职运维,本职后端研发。项目进度问题,已先解决问题优先为原则,有兴趣的可临行百度了解。这里不做无用解释,处理方案真实有效。
springBoot springSecurty: x-frame-options deny禁止iframe调用
tonysh_zds的博客
11-30 1787
springBoot springSecurty: x-frame-options deny禁止iframe调用 https://blog.csdn.net/whiteforever/article/details/73201586 项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错 x-frame-options deny 原因是因为springSecurty使用X-Frame-Options防止网页被Frame 1 .headers().frameOption
x frame options php,X-Frame-Options
weixin_42581846的博客
03-22 374
所述X-Frame-OptionsHTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面,或。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击。只有当访问文档的用户使用浏览器支持时才提供附加的安全性X-Frame-Options。Header typeResponse headerForbidden header nameno句法X-Frame-Option...
Nginx安全策略 “frame-ancestors ‘self‘“
可乐要加冰!!!
11-23 2939
nginx 的安全策略问题
x frame options php,使用 X-Frame-Options 拒绝网页被 Frame 嵌入
weixin_39613548的博客
03-22 826
使用 X-Frame-Options HTTP 响应头可以设置是否允许网页被 、 或 标签引用,网站可以利用这点避免点击劫持(clickjacking),以确保网页内容不被嵌入到其他网站。X-Frame-Options 选项介绍X-Frame-Options 有三个可选值DENY:不允许其他网页嵌入本网页SAMEORIGIN:只能是同源域名下的网页ALLOW-FROM uri:指定可以嵌入的地...
Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器
baiyongliang
05-23 8480
安全监测反馈如下: 有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。 X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frameframe...
点击劫持:CSP frame-ancestors 缺失
ylldzz的博客
06-06 3308
Content Security Policy是一种网页安全策略,现代浏览器使用它来增强网页的安全性。
x frame options php,X-Frame-Options头未设置 防止网页被iframe内框架调用
weixin_30951271的博客
03-22 497
描述: 目标服务器没有返回一个X-Frame-Options头。X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frameiframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的if...
如何设置X-Frame-Options
04-17
X-Frame-Options是一个HTTP响应头,用于控制网页在<frame>、<iframe>或<object>元素中的显示行为。它可以帮助防止点击劫持攻击(Clickjacking)。 要设置X-Frame-Options,你可以在服务器端的HTTP响应头中添加该字段。以下是几种常见的设置方式: 1. DENY:该选项表示页面不允许在任何<frame>、<iframe>或<object>中显示,即使是在同源的情况下也不允许。 示例:X-Frame-Options: DENY 2. SAMEORIGIN:该选项表示页面只能在相同源的<frame>、<iframe>或<object>中显示,不允许跨域显示。 示例:X-Frame-Options: SAMEORIGIN 3. ALLOW-FROM uri:该选项表示页面只能在指定的URI中的<frame>、<iframe>或<object>中显示。 示例:X-Frame-Options: ALLOW-FROM https://example.com 需要注意的是,X-Frame-Options是一种较旧的防御机制,现在已经有了更安全的替代方案,如Content Security Policy(CSP)的frame-ancestors指令。建议使用CSP来代替X-Frame-Options
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值