java xframeoptions,Header:X-Frame-Options开启与关闭方法

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量1.6k 收藏 3
点赞数 1
文章标签: java xframeoptions

X-Frame-Options头主要是为了防止站点被别人劫持,iframe引入

一、nginx配置形式:

add_header X-Frame-Options ALLOWALL; #允许所有域名iframe

add_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名

add_header X-Frame-Options SANEORIGIN; #允许相同域名iframe,如a.test.com允许b.test.com

add_header X-Frame-Options ALLOW-FROM uri; #允许指定域名iframe,

配置可以放入到nginx的 http 或者 server 中

实例:

6f24162ec93644626f45dddea8a2998f.png

二、通过EnableWebSecurity配置

X-Frame-Options 有三个值:

DENY

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

spring boot支持EnableWebSecurity 这个anotation来设置不全的安全策略。 具体如下:

import com.alibaba.spring.websecurity.DefaultWebSecurityConfigurer;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.web.header.writers.frameoptions.WhiteListedAllowFromStrategy;

import org.springframework.security.web.header.writers.frameoptions.XFrameOptionsHeaderWriter;

import java.util.Arrays;

@EnableWebSecurity

@Configuration

public class WebSecurityConfig extends DefaultWebSecurityConfigurer {

@Override

protected void configure(HttpSecurity http) throws Exception {

super.configure(http);

//disable 默认策略。 这一句不能省。

http.headers().frameOptions().disable();

//新增新的策略。

http.headers().addHeaderWriter(new XFrameOptionsHeaderWriter(

new WhiteListedAllowFromStrategy(

Arrays.asList("http://itaobops.aliexpress.com", "https://cpp.alibaba-inc.com",

"https://pre-cpp.alibaba-inc.com"))));

}

}

上面是支持ALLOW-FROM uri的设置方式。

其他设置方式比较简单。 下面是支持SAMEORIGIN的设置方式:

@EnableWebSecurity

@Configuration

public class WebSecurityConfig extends DefaultWebSecurityConfigurer {

@Override

protected void configure(HttpSecurity http) throws Exception {

super.configure(http);

http.headers().frameOptions().sameOrigin();

}

}

三、去除x-frame-options header配置:

@EnableWebSecurity

@Configuration

public class WebSecurityConfig extends DefaultWebSecurityConfigurer {

@Override

protected void configure(HttpSecurity http) throws Exception {

super.configure(http);

http.headers().frameOptions().disable();

}

}

weixin_39869593
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
X-Frame-Oprion关闭方法
洒家一笑的专栏
10-12 1680
第一种,改代码: 在WebSecurityConfigurerAdapter.configure(HttpSecurity http)中: http.headers().frameOptions().disable(); //关闭 或者: http.headers().frameOptions().sameOrigin(); //设置为SAMEORIGIN 第二种,改配置: S...
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 5万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
安全头响应头(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1103
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2499
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
nginx增加X-Frame-Options配置,防止页面被嵌套
yuanwai
05-31 7023
有时候站长不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。 下面是重点: NGINX
X-Frame-Options响应头配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应头配置详解
HTTP 响应头 X-Frame-Options
sayyy的专栏
10-14 4380
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
在不同的编程语言中设置X-Frame-Options响应头的方法如下: - PHP: ```php header('X-Frame-Options: Deny'); ``` - ASP.NET: ```csharp Response.AddHeader("X-Frame-Options", "Deny"); ``` - ASP: ``` ...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
- **Tomcat**:对于基于Tomcat的Java应用,可以创建一个过滤器,添加`response.addHeader("x-frame-options","SAMEORIGIN");`以确保所有响应都包含这个头。 - **HAProxy**:在HAProxy的配置文件中,根据版本不同,...
X-Frame-Options相关文件
08-27
描述中提到的"X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明...
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
引入ClickjackFilter.jar意味着你的Java应用将使用这个过滤器来自动添加X-Frame-Options头。当应用服务器启动时,你需要配置Web.xml文件,将ClickjackFilter添加为一个过滤器,确保所有请求在处理之前都会经过这个...
X-Frame-Options的nginx配置
Beth__hui的博客
10-22 3654
X-Frame-Options头主要是为了防止站点被别人劫持、iframe引入 nginx配置形式: add_header X-Frame-Options ALLOWALL; #允许所有域名iframe add_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名 add_header X-Frame-Options SANEORIGIN; #允许相同域名iframe,如a.test.com允许b.test.com add_header X-Frame-Op
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
X-Frame-Options响应头防点击劫持
道阻且长,行则将至。
02-21 5312
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
iframe跨域安全
路过君的博客
08-25 4720
1.响应头X-Frame-Options 响应头X-Frame-Options是用来给浏览器指示允许一个页面可否在<frame>,<iframe>,<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到其他网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 支持的指令 DENY 表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示。
nginx 跨域设置, X-Frame-Options
lihailin8的专栏
04-07 3580
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 X-Frame-Options ...
点击劫持:X-Frame-Options未配置、nginx配置X-Frame-Options响应头
更多内容查看博客描述。
04-26 1531
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
Clickjacking: X-Frame-Options header
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options头部来限制网页在iframe中的显示方式。 X-Frame-Options头部有三个可选值: 1. DENY:拒绝网页在任何iframe中显示。 2. SAMEORIGIN:只允许网页在相同域名下的iframe中显示。 3. ALLOW-FROM uri:只允许网页在指定的uri中的iframe中显示。 在nginx中,可以通过在http、server、location块中添加add_header指令来设置X-Frame-Options头部。例如: ```shell server { add_header X-Frame-Options SAMEORIGIN always; } ``` 这样设置后,网页将只能在相同域名下的iframe中显示,从而防止Clickjacking攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值