安全头响应头(二)​X-Frame-Options​

已于 2023-07-06 23:04:55 修改
阅读量2.8k 收藏 1
点赞数
分类专栏: HTTP 文章标签: 前端 linux javascript
于 2023-07-06 22:59:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/131565854
版权

一  X-Frame-Options

1) CSP 安全头与'前端编程'息息相关,后续通过对'CSP'头的理解加深对'前端知识'的理解

①  点击劫持

说明:X-FRAME-OPTIONS是'微软'提出的一个http头,专门用来防御利用'iframe嵌套'的点击劫持攻击

相关参考 

②  简介

背景: 出于安全考虑,希望控制'other系统'是否可以嵌套'自身'系统的页面

③  语法

理解:'DENY' 和 'SAMEORIGIN' 这两个'属性值'的含义

1) DENY: 不允许'任何网站[包含当前网站]'嵌套'自己网站'的页面

备注:嵌套方式 --> 'iframe'等

2) SAMEORIGIN: 只允许'相同域名的地址(自身)'使用iframe嵌套页面

原因:谷歌浏览器较'新版'不支持ALLOW-FROM

办法:用另一个响应头Content-Security-Policy代替,配置其中的'frame-ancestors'

④  案例

⑤  浏览器支持情况

⑥  思考

1) 如果不指定'​X-Frame-Options'响应头,浏览器的'默认'行为?

2) 如何允许'第三方网站'嵌入我们站点的'页面'?

二  CSP之frame-ancestors

①  document.domain+iframe

思考:为什么要'资源内嵌' iframe   --> 解决跨域问题

特点: 这个方法只能用于同一个主域下'不同子域之间'的'跨域'请求

②   frame-ancestors简介

③  语法

④  Sources源形式

1) 'host-source'

 

2) 'scheme-source'、'self'、'none'

1、'none': 同'X-Frame-Options: DENY'类似,不允许任何页面使用'iframe'嵌套

2、'self': 只允许'同源' iframe等嵌套页面

细节点: 可能不包含'data:'、'blob:'、'filesystem'

3、'scheme-source'、'host-source' 白单名形式

⑤  案例讲解 

⑥  nginx添加

add_header Content-Security-Policy "frame-ancestors 'self' http://*.aaa.com";

add_header Content-Security-Policy "frame-ancestors wzj.com nginx.com";

细节点: '单双'、'引号'、'空格'

遗留: 是否能将'CSP'多个'属性'分别设置多个'add_header Content-Security-Policy',可读性

⑦  iframe内嵌框架使用案例

操作页面内嵌的iframe和iframe传递消息    使用iframe既觉跨域

vue项目使用 vue.config.js 解决跨域

1) 'html资源'和'nginx配置'如下:

说明: 本文不探究'iframe'的具体用法,主要是探究CSP头'frame-ancestors'属性

2) '浏览器'请求现象 --> 被'Refused拒绝'

3) '浏览器' Console '报错'

解决策略: 把我们的'公网ip'添加到'百度服务器'CSP头'frame-ancestors'中

frameset了解

⑨  遗留

1) 要对CSP '选项'进行详细的说明

self  --> 代指什么 --> 能解析到nginx所在节点的'所有域名'吗? --> eg: CNAME

2) 各种'选项'的说明

3) 默认继承全局'default-src',如果自定义选项则'覆盖'全局的

4) data: ws: wss: 等 --> * 不包含哪些?

CORS常见错误   各种proxy代理环境变量   linux设置网络代理   no_proxy拉取镜像不生效

wzj_110
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
01-10
当然也是因为被360检测到了示"X-Frame-Options未设置",根据360的提示与百度了一些网上的一些资料整理了下,完美解决问题。 首先看下360给出的方案,但么有针对服务器的具体设置,不是每个人对服务器都很懂啊。 描述: 目标服务器没有返回一个X-Frame-Options。 X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将
Web安全漏洞 之 X-Frame-Options响应配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http的响应信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
nginx设置X-Frame-Options的两种方法
thlzjfefe的博客
03-22 1万+
本文介绍nginx分别通过http和server设置X-Frame-Options,防止网站被别人用iframe嵌入使用。需要说明的是,只需用其中一个方法即可,在http配置代码块或server配置代码块里设置。 在http配置里设置X-Frame-Options 在server配置里设置X-Frame-Options 在http配置里设置X-Frame-Options 打开nginx....
HTTP 响应 X-Frame-Options
sayyy的专栏
10-14 3004
X-Frame-Options是什么?
weixin_34284188的博客
12-07 810
错误: Refused to display 'http://xx.com/spot/kline.do' in a frame because it set 'X-Frame-Options' to 'deny'. X-Frame-Options是什么? X-Frame-Options是一个HTTP标(header),用来告诉浏览器这个网页是否可以放在iFrame内。例如:· ...
X-Frame-Options简介
zzhongcy的专栏
05-06 4万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
X-Frame-Options响应配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应配置详解
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2434
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 9228
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
X-Frame-Options响应防点击劫持
道阻且长,行则将至。
02-21 3796
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe src =" http://localhost:3000?url=https://example.com/ " > </ iframe > 演示版
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP部中的X-Frame-Options信息,需要的朋友可以参考下
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options缺失 in a frame because it set 'X-Frame-Options' to 'deny'
x-frame-bypass:绕过X帧选项
05-10
X帧绕过绕过x-frame-options
安全响应(三)X-Content-Type-Options
wzj_110的博客
08-15 2771
【代码】安全响应(三)X-Content-Type-Options
HTTP杂谈之Referer和Origin请求再探
wzj_110的博客
08-02 1477
Origin和Referer请求的关联。关于Referer和Origin的汇总。细节点、重点、难点挖掘。
HTTP1.1(十一)Cookie的格式与约束
wzj_110的博客
04-24 673
Cookie的格式与约束。
springboot 响应 增加X-Frame-Options
最新发布
12-30
在Spring Boot中,你可以通过添加自定义过滤器来设置响应中的X-Frame-Options字段。下面是两种方法: 方法一:使用@WebFilter注解 ```java import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletResponse; import java.io.IOException; @WebFilter(urlPatterns = "/*") public class XFrameOptionsFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse httpServletResponse = (HttpServletResponse) response; httpServletResponse.setHeader("X-Frame-Options", "SAMEORIGIN"); chain.doFilter(request, response); } } ``` 方法:使用FilterRegistrationBean注册过滤器 ```java import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import javax.servlet.Filter; @Configuration public class XFrameOptionsConfig { @Bean public FilterRegistrationBean<XFrameOptionsFilter> xFrameOptionsFilter() { FilterRegistrationBean<XFrameOptionsFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new XFrameOptionsFilter()); registrationBean.addUrlPatterns("/*"); return registrationBean; } } ``` 这两种方法都会在每个请求的响应中添加X-Frame-Options字段,并将其值设置为SAMEORIGIN,以防止页面被嵌套到其他网站的iframe中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值