php设置iframe参数,配置X-Frame-Options参数防止网页被iFrame

最新推荐文章于 2024-04-26 08:40:50 发布
最新推荐文章于 2024-04-26 08:40:50 发布
阅读量502 收藏
点赞数
文章标签: php设置iframe参数

今早起来,被港归20年新闻和短视频刷屏。嗯,林郑月娥女士宣誓的普通话好像不怎么标准欸~~

好吧,回归主题。前段发现我们的商城被运营商无耻(对,很无耻)的iFrame了,虽然头次发现,但是广告内容也是三俗(不精美、不相干)不可耐,果断加了防止frame的js代码到common-js里,后朋友又反映发现一次,我勒个擦!!!

休息时间,好好查了下资料,发现网上的资料也是各种知其然不知其所以然,这算被坑还是怪自己懒?啥都不说了,搞掂它吧!

综合网上说法,又有两种办法: 1. 使用meta标签

结果是然并卵!兼容性差的一逼,基本无视。

2. js控制顶层窗口跳转

if (top.location != self.location) { top.location = self.location; }

// 顶层窗口中放

var location = document.location;

呵呵~要不下这功夫呢。。。反正没帮我搞定问题!!!

那么,最后找到的靠谱方法是?

1、给NGX添加 header

add_header X-Frame-Options SAMEORIGIN;

网上看到也有在app中申明meta标签的,不知兼容好坏个人并不推荐。

**注意:**这个方法只是绝大部分浏览器兼容,详细配置及参数见 MDN: X-Frame-Options 响应头

2、使用https协议

这个方法很不错,也是趋势,不过就解决问题而言,灵活性谈不上了。

另外,可以看看【frame和iframe的区别】。好了,各位猿媛 Happy Coding ~

weixin_33638349
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x frame options php,X-Frame-Options头未设置 防止网页iframe内框架调用
weixin_30951271的博客
03-22 493
描述: 目标服务器没有返回一个X-Frame-Options头。X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frameiframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的if...
X-Frame-Options
hjh_cos
10-30 7585
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<ifr
点击劫持:X-Frame-Options配置、nginx配置X-Frame-Options响应头
最新发布
更多内容查看博客描述。
04-26 1189
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
Web安全漏洞 之 X-Frame-Options响应头配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http的响应头信息:属性名X-Frame-Options。可以配置参数有两个:X-Frame-Options 响应头有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
HTTP响应头之X-Frame-Options
richardman的专栏
06-13 2824
X-Frame-Options: DENY 由于在iframe.html中 <!DOCTYPE html> <html> <head> <title>iframe</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0">
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1199
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
X-Frame-Options头未设置 防止网页iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
为了防范这种攻击,网站管理员应该在服务器端配置X-Frame-Options头,指示浏览器是否允许页面在frameiframe中显示。X-Frame-Options头有三种可能的值: 1. **DENY**:不允许任何域加载此页面,包括同一域下的页面...
iis、apache、nginx使用X-Frame-Options防止网页Frame的解决方法
09-30
X-Frame-Options 是一种网络安全策略,它通过设置HTTP响应头来控制浏览器是否可以在iframeframe标签中展示页面内容。这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用透明iframe覆盖目标网页,诱使...
X-Frame-Options to sameorgin
smile121621的博客
04-22 5725
简单来说就是当前域名不允许随便嵌套在别的域名下 X-Frame-Options 有三个值: 各自独立 DENY : 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.1.1.0/16; allow 2001:0db8::/32...
X-Frame-Options响应头配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应头配置详解
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
详解nginx的X-Frame-Options配置字段
当世事再没完美,可远在岁月如歌中找你
09-23 2863
nginx@X-Frame-Options 1 定位 X-Frame-Options ,是一个 HTTP 响应头 = 2 作用 用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记 网站可以使用此功能来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击 = 3 配置参数 DENY:表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允
前端frame中引起的X-Frame-Options报错
qq_44275894的博客
06-10 2538
前端frame中引起的X-Frame-Options报错
.net Iframe 'X-Frame-Options' to 'SAMEORIGIN' 解决办法
qq_32915337的博客
04-10 2万+
Refused to display 'http://xxx.cn/' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 证明此页面不能被Iframe 解决方法: 1.在被Iframe的web.config 中取消行<add name="X-Frame-Options" value="SAMEORIGIN" /&g...
nginx增加X-Frame-Options配置防止页面被嵌套
yuanwai
05-31 6994
有时候站长不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。 下面是重点: NGINX
TongWeb相关http安全头设置方式
web的博客
12-16 7141
一、X-Frame-Options响应头配置 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。在TongWeb bin目录下external.vmoptions设置参数: -Dtongweb.X........
安全头响应头(二)​X-Frame-Options
wzj_110的博客
07-06 4059
Sources源形式。
如何确认嵌入的 iframe 页面是否设置了 X-Frame-Options 头部字段
07-22
要确认嵌入的 iframe 页面是否设置了 X-Frame-Options 头部字段,您可以按照以下步骤进行操作: 1. 打开父页面(包含 iframe 的页面)。 2. 在浏览器中按下 F12 键,打开开发者工具。 3. 切换到 "网络" 或 "网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值