html 设置响应X-frame,配置网站的X-Frame-Options属性防止Frame内框架调用

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量1k 收藏
点赞数
文章标签: html 设置响应X-frame

最近使用360网站安全检测对自己的网站进行了一次全面检测,发现有这样一个安全提醒:

WEB服务器启用了OPTIONS方法,X-Frame-Options头未设置。危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

虽然是轻微漏洞,但看着很不舒服,有强迫症的我决定把这个问题处理了。经过一番学习,知道了X-Frame-Options属性的一些用法:

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在, 或者中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options 主要有以下三个值:

DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。

SAMEORIGIN:表示该页面可以在相同域名页面的frame中展示。如果设置为SAMEORIGIN,那么页面在别人的网站frame嵌入时会无法加载,而可以在同域名页面的frame中嵌套。

ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。如果设置为ALLOW-FROM uri,那么页面可以在任何网站frame嵌入。

其实要配置这个属性也很简单,接下来余斗就根据不同的服务器教大家如何配置这个属性:

配置 nginx

把下面代码这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

配置 Apache

需要把下面这行代码添加到 'site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置 TOMCAT

需要把下面这行代码添加到过滤器(tomact服务器的过滤器配置可以自行百度教程)中:

HttpServletResponse response = (HttpServletResponse) sResponse;

response.addHeader("x-frame-options","SAMEORIGIN");

配置 IIS

添加下面代码配置到 Web.config 文件中:

...

...

我们可以先看下自己的空间是什么样的服务器,根据不同的服务器类型来选择不同的配置方法,经过配置后再测试,果然没有进行漏洞提醒,这个问题完美解决!

weixin_39989941
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
weixin_31437695的博客
07-04 3393
漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面...
Vue axios与Go Frame后端框架Options请求跨域问题详解
10-15
Vue axios与Go Frame后端框架在处理跨域问题时,主要涉及到前端的axios库和后端的GoFrame框架。在进行API调用时,尤其是在不同源之间,浏览器会执行一种称为CORS(Cross-Origin Resource Sharing)的机制,以确保...
X-Frame-Options简介
顺其自然~专栏
09-13 3720
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
安全头响应头(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1248
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
html 设置响应X-frame,windows apache设置X-Frame-Options的方法
weixin_35204634的博客
07-04 1469
windows apache设置 X-Frame-Options,有两步工作要做,缺一不可,很多人简单地搬用linux的方法,是不行的。本文介绍windows系统apache设置X-Frame-Options的方法。第一步,启用Headers模块windows系统apache启用Headers模块的方法与linux不同,windows简单得多。具体方法是:打开 httpd.conf,此文件默认安装...
配置X-Frame-Options参数防止网页被iFrame
chenwei19790712的博客
07-01 621
今早起来,被港归20年新闻和短视频刷屏。嗯,林郑月娥女士宣誓的普通话好像不怎么标准欸~~ 好吧,回归主题。前段发现我们的商城被运营商无耻(对,很无耻)的iFrame了,虽然头次发现,但是广告内容也是三俗(不精美、不相干)不可耐,果断加了防止frame的js代码到common-js里,后朋友又反...
X-Frame-Options头未设置 防止网页被iframe框架调用
09-30
防止上述情况发生,网站管理员应在其服务器端设置X-Frame-Options响应头。以下是一些常见的设置选项: 1. **DENY**:此选项禁止任何网站在`iframe`或`frame`中加载你的页面。所有尝试加载该页面的浏览器都会阻止...
Python-Secure是一个轻量级包为PythonWeb框架添加了可选的安全头和cookie属性
08-12
4. X-Frame-Options防止点击劫持,限制网页在iframe中显示,防止恶意网站嵌入你的页面进行中间人攻击或其他恶意操作。 5. Strict-Transport-Security (HSTS):强制浏览器使用HTTPS协议,防止中间人攻击和SSL剥离...
frame 小程序例子
03-26
`frame`框架在小程序开发中扮演着重要角色,它为开发者提供了组织和管理页面结构的能力,使得应用程序的布局和导航更加灵活。 首先,我们要理解`frame`的概念。在小程序中,`frame`框架是一种页面容器,它允许我们...
iis设置首页为main.html,遇到X-Frame-Options头未设置"怎么解决
weixin_28813025的博客
06-16 210
摘要:X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。是什么?X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内...
HTMLframe跳转设置响应头,Web安全 之 X-Frame-Options响应配置
weixin_42363022的博客
06-05 790
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
设置X-Frame参数防止页面被Frame
天使的心跳
10-28 1212
针对问题: 防止网页被Frame,虽然我也不知道有啥好Frame的(我理解是在some-hack-web.com上Frame淘宝的页面,然后在密码框之类的控件上加一个隐藏的Frame,然后账号密码信息直接发送到some-hack-web.com而不是淘宝) 解决方案: 在web.xml中加入一个Filter: httpHeaderSecurity
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
Spring Boot Activiti 由于“X-Frame-Options“指令设为“DENY“ 跨域问题
上班搞IT,下班搞ITF。
09-10 1629
@Override public void configure(HttpSecurity http) throws Exception { //放开所有资源请求URL http.authorizeRequests().antMatchers("/*").permitAll(); //取消csrf防护 http.csrf().disable(); // X-Frame-Options 响应头跨域,主要是这句 http.headers().frameOptions()...
X-FRAME-OPTIONS配置
zhaofuqiangmycomm的博客
02-19 950
其中第5种方式,通过tomcat控制最方便,不过实际配置过程中,版本过低的tomcat会启动不了,建议tomcat版本不要低于7.0.69 .DENY 表示该页面不允许在frame中展示,即便是在同域名页面中嵌套也不允许。ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。每个jsp页面都要写这段,太无语,我只声明我知道这种方式,但绝不会用。(推荐)加了之后就不用管tomcat等容器的事,一劳永逸。
X-Frame-Options响应头防点击劫持
道阻且长,行则将至。
02-21 5380
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2511
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
tkinter界面frame框架中如何动态创建Radiobutton单选框
03-28
可以使用循环创建Radiobutton单选框,并将它们添加到Frame框架中。以下是一个示例代码: ```python import tkinter as tk root = tk.Tk() # 创建一个Frame框架 frame = tk.Frame(root) frame.pack() # 定义一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值