配置您的 Web 服务器以包含 X-Frame-Options 标头

最新推荐文章于 2024-04-23 19:35:54 发布
最新推荐文章于 2024-04-23 19:35:54 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 漏洞修复 文章标签: 服务器 前端 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45816407/article/details/130570331
版权

介绍

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options三个参数:

1、DENY

表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

2、SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示。

3、ALLOW-FROM uri

表示该页面可以在指定来源的frame中展示。

换一句话说,如果设置为DENY,不光在别人的网站frame嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套。正常情况下我们通常使用SAMEORIGIN参数。

检测

配置后如何确定X-Frame-Options是否已生效呢?我这里以Google浏览器为例,打开网站按F12键,选择Network,找到对应的Headers,如下图所示

在这里插入图片描述

配置修复

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

Header always set X-Frame-Options "sameorigin"

要将 Apache 的配置 X-Frame-Options 设置成 deny , 按如下配置去设置你的站点:

Header set X-Frame-Options "deny"

要将 Apache 的配置 X-Frame-Options 设置成 allow-from,在配置里添加:

Header set X-Frame-Options "allow-from https://example.com/"

nginx配置

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

add_header X-Frame-Options sameorigin always;

允许单个域名iframe嵌套

add_header X-Frame-Options ALLOW-FROM http://whsir.com/;

允许多个域名iframe嵌套,注意这里是用逗号分隔

add_header X-Frame-Options "ALLOW-FROM http://whsir.com/,https://cacti.org.cn/";

IIS配置

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

HAProxy配置

添加下面这行到 ‘front-end, listen, or backend’配置中

rspadd X-Frame-Options:\ sameorigin

或者,在更加新的版本中:

http-response set-header X-Frame-Options sameorigin

Tomcat配置

在 ‘conf/web.xml’填加以下配置

	<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <init-param>
            <param-name>antiClickJackingOption</param-name>
            <param-value>SAMEORIGIN</param-value>
        </init-param>
        <async-supported>true</async-supported>
    </filter>
	<filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
   	 	<dispatcher>REQUEST</dispatcher>
    	<dispatcher>FORWARD</dispatcher>
	</filter-mapping>

验证生效

配置后如何确定X-Frame-Options是否已生效呢?打开网站按F12键,选择Network,找到对应的Headers,如下图,即已经生效
在这里插入图片描述

你邻座的怪同学
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx添加安全策略
TomicSun的博客
07-06 2866
Nginx添加安全策略
koa-xframe:适用于Koa的X-Frame-Options HTTP响应标头实用程序
04-30
Koa XFrame 用于Koa的 HTTP响应标头实用程序。 :light_bulb: 该中间件是为 v2.xx设计的,并使用来实现ES5兼容性。 :wrench: 该中间件正在开发中。 反馈/公关受到欢迎和鼓励。 如果您想在这个项目上进行合作,请告诉我。 安装 $ npm install --save koa-xframe 用法和API import Koa from 'koa' ; import xFrame from 'koa-xframe' ; const app = new Koa ( ) ; // default settings -> set X-Frame-Options to 'DENY' app . use ( xFrame ( ) ) ; // custom settings // -> set X-Frame-Options to 'DENY' app . use ( xFrame (
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2435
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
nginx增加X-Frame-Options配置,防止页面被嵌套
yuanwai
05-31 6834
有时候站长不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。 下面是重点: NGINX
服务器设置 Header响应(Server、X-Frame-Options、X-Powered-By)
liangpingguo的博客
06-24 3702
一、iis7/8隐藏banner信息 进入在【Internet 信息服务(IIS)管理器】-【HTTP 响应】,添加或删除或修改即可。 隐藏Server版本信息,安装UrlScan,打开%WINDIR%\System32\Inetsrv\URLscan,配置URLScan.ini: RemoveServerHeader=0; 改为RemoveServerHeader=1; 添加X-Frame-Options Header 进入在【Internet 信息服务(IIS)管理器】-【HTTP
设置HTTP请求(X-Frame-Options)
(ง •_•)ง
11-23 3454
中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
X-Frame-Options响应配置详解
热门推荐
qq_37705525的博客
06-19 1万+
X-Frame-Options响应配置详解
漏洞修复:Clickjacking: CSP frame-ancestors missing
CutelittleBo的博客
11-29 2097
在server中添加以下信息
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 9229
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
HTTP 响应 X-Frame-Options
sayyy的专栏
10-14 3004
X-Frame-Options简介
顺其自然~专栏
09-13 3214
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
x-forward-for:X-Forwarded-For标头浏览器扩展
01-30
x转发 X-Forwarded-For标头浏览器扩展 得到它 或
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe src =" http://localhost:3000?url=https://example.com/ " > </ iframe > 演示版
Ignore X-Frame headers-crx插件
03-25
删除X-Frame-Options和Content-Security-Policy HTTP响应标头,以允许对所有页面进行格式化。 只能暂时使用,并且只能用于开发,测试或故障排除目的,因为它会禁用重要的浏览器安全机制。 没有自定义选项或安装说明...
HTTP安全标头大全(X-Frame-Options,CSP,HSTS.....,,)
10-31
HTTP安全标头大全(X-Frame-Options,CSP,HSTS.....,,) 最常见的攻击包括:钓鱼、跨站脚本(XSS)、中间人攻击(MITM,通常发生在免费公共WiFi或其他开放网络上) 所以HTTP安全是一种良好的防火墙,可以防止许多...
forwarded:解析HTTP X-Forwarded-For标头
05-11
转寄 解析HTTP X-Forwarded-For标头 ... 以相反的顺序返回地址数组,包括req的套接字地址(即索引0是套接字地址,最后一个索引是最远的地址,通常是最终用户)。 测验 $ npm test 执照 麻省理工学院
Linux报错处理:‘abrt-cli status’ timed out
Rita_rr的博客
04-23 553
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统中处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行、网络问题或配置错误。
【linux】Bad owner or permissions on
codears的博客
04-23 165
我们查看他的权限时发现它所链接的文件权限为777。
1. 2XX (Success 成功状态码)
最新发布
2402_83160520的博客
04-23 220
状态码2XX表示请求被正常处理了。
解决X-Frame-Options Header未配置漏洞
08-27
要解决X-Frame-Options Header未配置漏洞,您可以采取以下步骤: 1. 确定问题:首先,您需要确认您的应用程序是否存在X-Frame-Options Header未配置漏洞。您可以使用浏览器开发者工具(如Chrome DevTools)来检查HTTP响应标头中是否包含X-Frame-Options字段。 2. 配置X-Frame-Options:为了防止点击劫持攻击,您应该在HTTP响应中添加X-Frame-Options标头,并设置其值为"sameorigin"、"deny"或"allow-from uri"。具体选择哪个选项取决于您的应用程序需求。 - "sameorigin":该选项允许从相同源(同一域名和端口)加载页面。 - "deny":该选项禁止在任何情况下通过iframe加载页面。 - "allow-from uri":该选项允许从特定的URI加载页面。 3. 配置X-Frame-Options的位置:您可以在Web服务器配置文件中或应用程序的代码中添加X-Frame-Options。确保将其添加到所有响应中,包括HTML页面、脚本文件、样式表等。 4. 测试修复效果:在应用程序中进行全面测试以确保X-Frame-Options已正确配置并能够防止点击劫持攻击。使用不同的浏览器和设备进行测试,并尝试加载应用程序页面到一个空的iframe中,以确保防护机制生效。 请注意,以上仅为一般性建议。具体的解决方法可能因您使用的技术栈和框架而有所不同。建议参考您所使用的平台的文档和安全最佳实践来解决该问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值