关于 X-Frame-Options的一些小知识

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量309 收藏
点赞数
文章标签: python 前端 ViewUI
原文链接:https://my.oschina.net/u/2494395/blog/1153924
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

做了个页面,里面嵌套了一个计算器,打开chrome 调试,发现里面输出一个错误提示:Refused to display 'https://xxxxx/xxxxx/xxxxxx' in a frame because it set 'X-Frame-Options' to 'deny'. 搜索了一下这个东西。

 

X-Frame-Options是什么?

X-Frame-Options是一个HTTP标头(header),用来告诉浏览器这个网页是否可以放在iFrame内。例如:·

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM http://xxxxx.com/

第一个例子告诉浏览器不要(DENY)把这个网页放在iFrame内,通常的目的就是要帮助用户对抗点击劫持。

第二个例子告诉浏览器只有当架设iFrame的网站与发出X-Frame-Options的网站相同,才能显示发出X-Frame-Options网页的内容。

第三个例子告诉浏览器这个网页只能放在http://xxxx.com//网页架设的iFrame内。

不指定X-Frame-Options的网页等同表示它可以放在任何iFrame内。

X-Frame-Options可以保障你的网页不会被放在恶意网站设定的iFrame内,令用户成为点击劫持的受害人。

另外查了最新的资料,还可以直接通过meta标签来设置,不需要放在http头部请求中了。

<meta http-equiv="X-Frame-Options" content="deny">

两个参数:(作用与上面一致)

  1. SAMEORIGIN
  2. DENY


来源:前端开发博客

转载于:https://my.oschina.net/u/2494395/blog/1153924

weixin_34232617
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web前后端漏洞分析与防御-知识梳理.zip
03-03
防御策略包括使用X-Frame-Options或Content-Security-Policy帧策略来阻止页面被嵌入其他站点。 4. **前端数据安全**:前端应当避免存储敏感信息,如密码明文,而应使用哈希或加密技术。同时,防止数据篡改,如使用...
Laravel开发-secure-headers
08-28
常见的安全HTTP头包括Content-Security-Policy、X-Frame-Options、X-XSS-Protection、X-Content-Type-Options、Strict-Transport-Security等。 二、Laravel中的安全服务提供者 "secure-headers"软件包为Laravel提供...
X-Frame-Options配置
-JackoChan
08-23 2万+
因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
X-Frame-Options 响应头
xl19900502的专栏
03-01 286
原文地址:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在&lt;frame&gt;,&lt;iframe&gt;或者&lt;object&gt;中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌...
安全头响应头(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1246
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
X-Frame-Options
hjh_cos
10-30 7737
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<ifr
x-frame-options
xiaoyounihao的博客
03-29 318
https://newsn.net/say/x-frame-options-and-iframe.html
实验四-TLS实验指导1
08-08
params.conf`,并设定安全的密码套件(SSLCipherSuite),禁用不安全的SSL版本(SSLProtocol),启用强加密选项(SSLHonorCipherOrder),以及设置HTTP严格传输安全(HSTS)和其他安全响应头(如X-Frame-Options和X-...
最强面试八股文-前端
10-05
为防止恶意嵌套,可以设置`X-Frame-Options`响应头或使用`Content-Security-Policy`(CSP)来限制iframe的使用。 在脚本处理方面,`defer`和`async`是`<script>`标签的两个关键属性,用于非阻塞文档解析下载和执行...
ssg-2020-12
02-12
关于HTML的安全实践,以下是一些重要的知识点: 1. **XSS(跨站脚本攻击)防护**:HTML中注入恶意脚本可能导致用户数据泄露或被操纵。开发者应使用`htmlspecialchars()`函数转义用户输入,或者使用Content Security...
HTTP X-Frame-Options
Adongqin的专栏
12-21 349
X-Frame-Options       X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面&lt;FRAME&gt;   或 &lt;IFRAME&gt;中. 以确保网站内容是不是嵌入到其它网站.   &lt;head&gt; &lt;meta http-equiv="Content-Type" content="text...
Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 812
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
HTTP 响应头 X-Frame-Options
sayyy的专栏
10-14 4683
X-Frame-Options简介
顺其自然~专栏
09-13 3717
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
HTTP响应头之X-Frame-Options
richardman的专栏
06-13 2837
X-Frame-Options: DENY 由于在iframe.html中 <!DOCTYPE html> <html> <head> <title>iframe</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0">
JAVA年度安全 第九周 X-FRAME-OPTIONS
New World
06-08 8382
Whatis it and why should I care? X-Frame-Options(在草拟的标准中已经移除X-,只保留Frame-Options)是一个新技术用来指定网站页面是否允许嵌入IFrame页面。这样能够解决点击劫持(clickjacking)攻击。 此技术是基于每个页面的HTTP响应头特定参数实现的。支持(X-)Frame-Options头参数的浏览器根据标准会允许或禁
如何设置X-Frame-Options
04-17
X-Frame-Options是一个HTTP响应...需要注意的是,X-Frame-Options是一种较旧的防御机制,现在已经有了更安全的替代方案,如Content Security Policy(CSP)的frame-ancestors指令。建议使用CSP来代替X-Frame-Options
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值