使用设置报头x-Frame-Options限制iframe网页嵌套

最新推荐文章于 2023-02-15 14:29:33 发布
最新推荐文章于 2023-02-15 14:29:33 发布
阅读量3k 收藏
点赞数
文章标签: javascript python java ViewUI

x-frame-options的出现一部分是为了防止一些别有用心的者制作钓鱼网站,现在支持的浏览器有一下:

  • chrome 4.1.249.1042
  • firefox 3.6.9(1.9.2.9)
  • IE 8.0
  • opera 10.50
  • safari

 

使用 X-Frame-Options 有三个可选的值:

DENY:浏览器拒绝当前页面加载任何Frame页面

SAMEORIGIN:frame页面的地址只能为同源域名下的页面

ALLOW-FROM:允许frame加载的页面地址

 

 

PHP代码:

header('X-Frame-Options:Deny');

  

Nginx配置:

add_header X-Frame-Options SAMEORIGIN

  

Apache配置:

Header always append X-Frame-Options SAMEORIGIN

 

在grape&Sinatra中设置办法

get "/url" do
  response.headers["X-Frame-Options"] = ''
  do something  
 end

  

在header中增加  X-Frame-Options SAMEORIGIN  输出,如下图:

 

更多详解:https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

 

 

 

其它防止被 FRAME 加载你的网站页面方法:

1. meta 标签:很多时候没有效果,无视。

<meta http-equiv="Windows-Target" contect="_top">

  

2. js 判断顶层窗口跳转,可轻易破解,意义不大。

function locationTop(){      
    if (top.location != self.location) {          
        top.location = self.location;          
        return false;             
    }      
    return true;  
}  
locationTop();

  破解:

// 顶层窗口中放入代码  var location = document.location;  // 或者 var location = "";

  

weixin_34185560
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x-frame-bypass:绕过X帧选项
05-10
X帧绕过 绕过x-frame-options
X-Frame-Options响应头防点击劫持
道阻且长,行则将至。
02-21 3742
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
关于嵌套使用 iFrame 出现 Refused to display in aframe 拒绝连接访问 和 ‘X-Frame-Options‘ to ‘SAMEORIGIN‘ 的解决方案【已解决】
XH_jing的博客
05-26 2万+
目录问题描述原因分析问题解决总结 今天在迁移旧项目时,出现了如下错误提示: Refused to display in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN' 问题描述 当前项目是一个生产环境正常运行的项目,由于我们要迁移服务器并且部署 k8s,所以需要重新部署上线该项目。 使用 iframe 的场景就是在一个容器中展示另一个页面(也是我们自己的页面,只不过域名不同)才会抛出这个错误。 这个项目的在测试环境和生产环境都是可以正
html iframe 设置半透明_防止网站被iframe内框架调用的方法
weixin_39932330的博客
12-01 232
今天有人反馈了一个在iframe内无法调用网站同一个站点的页面问题并报错,就在网站查了一些相关的资料,整理一下关于禁止网站所有页面或某一个页面被iframe内框架调用的方法。网站iframe内框架调用页面报错如下Refused to display http://xxxxxx.com in a frame because it set 'X-Frame-Options' to 'deny'.通过查...
chrome87版本iframe页面空白_iframe跨域嵌套问题
weixin_36267615的博客
12-27 3367
背景:我们有个奇葩网站,用iframe嵌入了很多友方部门的页面,很多部门设置了X-Frame-Options:deny 导致页面展示不出来,如何让页面展示出来,并且只允许在我们的域名下展示出来呢。先介绍下X-Frame-Options这个header。如果你去查阅相关资料,都会说这个header有三个取值:deny, sameorigin, allow-from https://example....
禁止iframe技术:X-Frame-Options frame-ancestors
sh2018的博客
10-24 1万+
X-Frame-Options DENY:禁止iframe SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护 ALLOW-FROM: https://example.com:白名单限制 但这个缺陷就是chrome、Safari是不支持ALLOW-FROM语法! php代码如下: header("X-Frame-Options: allow-from http://...
web安全:x-frame-options(防止网页嵌套)头配置
TivonaLH的博客
01-11 1954
1.写一个过滤器 public class RequestFilter implements Filter { private final static Logger log=Logger.getLogger("RequestFilter"); @Override public void destroy() { // TODO Auto-generated method stub ...
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
X-Frame-Options头缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
UDP 报头结构 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
图8-12 UDP报头件udp_dnsrequest.pcapng中包含有个数据包,这个数据包是当展开这个数据包的UDP头时,你可以看到4个域(图
X-周期「X-Cycle」-crx插件
03-09
该扩展将从列表中选择一个IP地址,并将其作为X-Forwarded-For报头的值插入到目标服务器的请求中。 这是面向Web应用程序防火墙的测试人员,您需要生成看起来像来自不同IP地址的流量。通常情况下,服务器不信任由DMZ...
hyper-reverse-proxy:与Hyper和Tokio一起使用的简单反向代理
05-09
该实现可确保在两个方向上正确剥离,并将客户端的IP地址添加到X-Forwarded-For报头中以逗号分隔的转发地址列表中。 该实现基于Go的 。 例子 将这些依赖项添加到您的Cargo.toml文件中。 [ dependencies ] hyper-...
X-Frame-Options
CNXBDSa的博客
08-06 545
X-frame-options响应头三种类型 (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 (3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 如果不做限制,则删除X-frame-options响应头 X-Frame-Options: DENY 由于在iframe.html中 <!DOCTYPE html> <html> <head>
使用iframe /> 嵌套页面的一点总结
weixin_43714836的博客
11-22 1万+
iframe 标签嵌套页面,可能会遇到 x-frame-options 的值为 deny、sameorigin 情况,此时可能出现:xxx.xxx.xxx 拒绝了我们的连接请求。往往被嵌套页面的设置决定了是否能嵌套
iframe调用页面添加header
weixin_43839871的博客
02-15 6938
场景:对于iframe集成的页面进行权限校验。由于iframe默认的src的不能传递header, 因此需要把iframe调用方式改为ajax,代码如下。写个测试的页面测试下。
IFrame嵌入页面导致的权限问题
weixin_38277138的博客
09-14 3201
IFrame嵌入页面导致的越权问题处理
关于HTTP头部信息X-Frame-Options的问题-防止网站被人嵌套
lyj1101066558的博客
05-05 2万+
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息 使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面的地址只能为同源域名下的页面 ALLOW-FROM:origin为允许frame加载的页面地址 说到这里肯定会问我设置方法,请
使用HTTP响应头X-Frame-Options防止网页Frame
热门推荐
Just do IT
08-02 2万+
有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。 X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frameframe加载。
X-Frame-Options防止网页放在iframe
weixin_33816821的博客
06-20 533
X-Frame-Options是什么?X-Frame-Options是一个HTTP标头(header),用来告诉浏览器这个网页是否可以放在iFrame内。例如:·X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM http://caibaojian.com/第一个例子告诉浏...
tomcat解决X-Frame-Options报头丢失
最新发布
12-29
在Tomcat中解决X-Frame-Options报头丢失的方法如下: 1. 打开Tomcat的配置文件`server.xml`,该文件位于Tomcat安装目录的`conf`文件夹下。 2. 在`<Host>`标签内添加以下内容: ```xml <Valve className="org.apache.catalina.valves.HeadersValve" addXFrameOptionsHeader="true" xFrameOptionsHeader="SAMEORIGIN" /> ``` 这将在所有页面上添加X-Frame-Options响应头,并将其值设置为`SAMEORIGIN`。 3. 保存并关闭`server.xml`文件。 4. 重新启动Tomcat服务器。 这样,Tomcat将在所有页面上发送X-Frame-Options响应头,并将其值设置为`SAMEORIGIN`,从而解决X-Frame-Options报头丢失的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值