html 设置响应X-frame,windows apache设置X-Frame-Options的方法

最新推荐文章于 2024-07-11 16:00:34 发布
最新推荐文章于 2024-07-11 16:00:34 发布
阅读量1.4k 收藏 1
点赞数 2
文章标签: html 设置响应X-frame

Windows Apache X-Frame-Options 配置 安全
关键词由CSDN通过智能技术生成

windows apache设置 X-Frame-Options,有两步工作要做,缺一不可,很多人简单地搬用linux的方法,是不行的。本文介绍windows系统apache设置X-Frame-Options的方法。

第一步,启用Headers模块

windows系统apache启用Headers模块的方法与linux不同,windows简单得多。具体方法是:打开 httpd.conf,此文件默认安装路径是 C:\Program Files\Apache Software Foundation\Apache2.2\conf 。

把 #LoadModule headers_module 前面的 # 号去掉即可。

29b7837c0f4ad091671c4a2ce0f0f3da.gif

apache启用Headers模块

这样apache就启用了Headers模块。

第二步,设置X-Frame-Options

同样是在 httpd.conf 文件里,在最后面添加一行如下代码:

Header always append X-Frame-Options SAMEORIGIN

815b6fd32878f9f7813f947b39bedbc4.gif

设置X-Frame-Options

X-Frame-Options 有三个值:

DENY

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

最后,重启Apache,设置才生效!

如何判断设置是否生效?

如果你使用Chrome或Firefox浏览器,那很好办,打开开发者工具,访问一下任何一张网页,看header里是否包含你刚才设置的X-Frame-Options信息?如下图所示:

f6f302faa916df84bdd33beba32ee8f1.gif

查看网页响应头

如果你使用的是其他浏览器,那么可以自己新建一张网页,使用iframe包含另一张网页,看是否符合自己设置的要求。简单的网页代码如下:

iframe引用网页范例

iframe引用网页范例

您可能对以下文章也感兴趣

我有改名卡
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
weixin_31437695的博客
07-04 3393
漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面...
apache x-frame-options
iiiiiiiiiiii9的专栏
01-19 679
配置Apache:(如果是在本地的话,就是在httpd.conf里面配置;如果是Linux(ubuntu的话)就是在apache2.conf里面)找个空的位置加入这行代码,具体看你是选择哪种span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGINspan> 有可能会遇到一种情况,就是我在服务端配置完a
低危漏洞修复——点击劫持X-Frame-Options响应头缺失
最新发布
后端开发
07-11 636
X-Frame-Options响应头缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
设置HTTP请求头(X-Frame-Options)
(ง •_•)ง
11-23 3553
中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
apache设置X-Frame-Options响应
热门推荐
安素
06-28 1万+
服务器未设置X-Frame-Options响应头,易受到点击劫持攻击设置X-Frame-Options响应头它有三个可选的值:DENYSAMEORIGINALLOW-FROM origin当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。在htt...
apache服务器配置响应头,Web安全 之 X-Frame-Options响应头配置
weixin_39629129的博客
08-13 3368
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
- **Apache**:在Apache的`.htaccess`或`<VirtualHost>`、`<Directory>`等配置段中,使用`Header`指令添加`X-Frame-Options SAMEORIGIN`。 - **nginx**:在nginx的`http`、`server`或`location`配置块中,添加`add_...
X-Frame-Options相关文件
08-27
描述中提到的"X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
在不同服务器环境中,设置X-Frame-Options方法如下: **IIS(Internet Information Services)** - IIS 6:通过HTTP头设置。 - IIS 7及以上版本:可以编辑Web.config文件,添加以下代码: ```xml ... ...
apache-pack:适用于Symfony Apache的Symfony Pack
02-05
4. **安全配置**:它还包含了安全相关的设置,如防止点击劫持(X-Frame-Options)和跨站脚本攻击(X-XSS-Protection),确保应用的安全性。 5. **易用性**:只需一行命令,就可以将`apache-pack`集成到新的或现有的...
HTMLframe跳转设置响应头,Web安全 之 X-Frame-Options响应头配置
weixin_42363022的博客
06-05 790
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...
HTMLframe跳转设置响应头,X-Frame-Options header响应头如何配置
weixin_39880623的博客
06-05 1167
摘要:X-Frame-Options:值有三个(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相...X-Frame-Options:值有三个(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中...
Apache 处理 X-Frame-Option
ying890的专栏
10-01 1397
一、在apache安装         D:\Program Files (x86)\Apache Software Foundation\Apache2.2\conf         httpd.conf          LoadModule headers_module modules/mod_headers.so  取消注释                     Head
html 设置响应X-frame,配置网站的X-Frame-Options属性防止Frame内框架调用
weixin_39989941的博客
07-04 1067
最近使用360网站安全检测对自己的网站进行了一次全面检测,发现有这样一个安全提醒:WEB服务器启用了OPTIONS方法,X-Frame-Options头未设置。危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性...
X-Frame-Options简介
顺其自然~专栏
09-13 3720
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
html加载PDF以及django配置解决X-Frame-Options跨域问题
陈守一的博客
08-07 1300
html中加载pdf, 方式为: <object id="pdf_reader_object" data="http://localhost:8080/teacher/scan_report/20190801.pdf" type="application/pdf" target ="_ top" style="overflow:auto"> <a href="htt...
X-FRAME-OPTIONS未配置
zhaofuqiangmycomm的博客
02-19 950
其中第5种方式,通过tomcat控制最方便,不过实际配置过程中,版本过低的tomcat会启动不了,建议tomcat版本不要低于7.0.69 .DENY 表示该页面不允许在frame中展示,即便是在同域名页面中嵌套也不允许。ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。每个jsp页面都要写这段,太无语,我只声明我知道这种方式,但绝不会用。(推荐)加了之后就不用管tomcat等容器的事,一劳永逸。
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3620
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值