Asp.net 网站页面禁止其他网站iframe嵌套,或者允许指定网站嵌套方法

已于 2022-06-25 11:27:48 修改
阅读量1.6k 收藏
点赞数
分类专栏: Asp.net 网站 IIS 文章标签: asp.net 服务器
于 2022-06-23 21:56:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yicunyangguang/article/details/125435210
版权
Asp.net 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
网站
4 篇文章 0 订阅
订阅专栏
IIS
2 篇文章 0 订阅
订阅专栏

整体都是通过HTTP响应标头设置属性达到目的

        名称(N):X-Frame-Options
        值(V):DENY

值类型:

  • DENY:浏览器拒绝当前页面加载任何Frame页面。
  • SAMEORIGIN:frame页面的地址只能为同源域名下的页面。
  • ALLOW-FROM:origin为允许frame加载的页面地址。  格式:ALLOW-FROM www.domain.com

方法有两种:①Windows服务器下可以通过设置IIS的HTTP响应标头设置

                      ②Asp.net core 或者则.Net5及其以上可以通过代码设置HTTP响应标头

方法①:打开IIS,选中要限制的网站,点击右侧“Http响应标头”,点击“添加”,如下图:

如需要浏览器拒绝当前页面加载任何Frame页面,如下图设置:

 方法②:通过代码限制网页嵌套(例子是.NET5环境)。

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (!string.IsNullOrEmpty(Configuration.GetSection("X-Frame-Options").Value)) 
    {
       app.UseSecurityHeadersMiddleware(new SecurityHeadersBuilder()
                  .AddCustomHeader("X-Frame-Options", $"{Configuration.GetSection("X-Frame-Options").Value}"));
    } 
    /* 省略代码 */
  
}

注:Configuration.GetSection("X-Frame-Options").Value 为配置文件获取设置值,也就是上述的HTTP响应标头值。X-Frame-Options的ALLOW-FROM值不是所有浏览器都支持,如下是2022-06-25截图。

如果X-Frame-Options项的 ALLOW-FROM属性值浏览器不支持,可以尝试使用Http响应标头中 Content-Security-Policy的frame-ancestors www.domain.com 值。(2022-06-25补充更新)

一寸阳光2019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
net core iframe不同源时嵌套
u012511100的博客
12-27 2316
项目中使用的为jwt验证 将cookie的验证模式修改为none 将secure修改为always 这样cookie在https请求下就可以 cookie非同源使用了。 注意一定要发布在https下 不然cookie会无法保存 ,这个是浏览器的安全处理规则 services.AddAuthentication(options => { options.DefaultScheme = CookieAuthenticationDefaults.Au
Asp.netIframe页面跳转解决方案
技术的海洋,知识的海洋。遨游~~
12-08 3712
Asp.netIframe页面跳转解决方案 void Application_Error(object sender, EventArgs e) { //在出现未处理的错误时运行的代码 Response.Redirect("~/Redirect.aspx?page=error"); } void Session_Start(ob
ASP.NET 页面禁止iframe 框架引用
weixin_33989780的博客
08-11 180
两个站点: a.sample.com b.sample.com a.sample.com 站点中的一段示例 JS 代码: var iframe = document.createElement("iframe"); iframe.id = "frame"; iframe.src="http://b.sample.com/index.html"; iframe.onload = function...
项目中使用iframe嵌入外部网页时提示连接被拒绝
最新发布
weixin_42864357的博客
06-25 3287
X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在iframe标签,embed标签 或者 标签中展现的标记,浏览器拒绝当前页面加载任何Frame页面。即该页面允许在frame中展示,即便是在相同域名的页面嵌套也不允许。即表示该页面可以在相同域名页面的frame中展示。为允许frame加载的页面地址。即表示该页面可以在指定来源的frame中展示。X-Frame-Options可用于指示是否应该允许浏览器呈现在一个页面
ASP.NET Web API中防止跨站点请求伪造(CSRF)攻击
weixin_34143774的博客
05-02 579
定义 跨站点请求伪造(CSRF)是一种恶意站点向用户当前登录的易受攻击的站点发送请求的攻击方式。 以下是CSRF攻击的示例(必须具备的条件): 用户使用表单验证登录 www.example.com。 服务器验证用户,响应(Response)包含了一个认证cookie。 用户没有注销,然后访问了恶意网站。此恶意网站包含以下HTML表单: 1 <h1>You Are...
【spring security】允许iframe嵌套:because it set 'X-Frame-Options' to 'deny'.
the_fool_的博客
03-09 1545
版本信息: 错误描述:because it set 'X-Frame-Options' to 'deny'. 方案如下: 重写WebSecurityConfigurerAdapter 中的configure方法,关闭frameOptions import org.springframework.context.annotation.Configuration; import or...
禁止网页被他人嵌套
weixin_30707875的博客
04-24 284
摘要 网页被他人嵌套,可能会引发一些问题, 大量的403/404 访问问题, 可能会被木马网站劫持, 地址无法与内容一一对应。 方案一 前端检测 top 窗口是否就是 self , try{   top.location.hostname;   if (top.location.hostname != window.location.hostname) {     top.location.h...
Asp.net 项目网页嵌入到ifrom中在谷歌浏览器中被禁用
qq_41863998的博客
08-06 1万+
ASP.NET: Chrome76+版本SameSite导致的Cookie故障问题解决方案方案一方案二 问题 以前做的Asp.net项目有些页面都会嵌入到ifrom中;到谷歌76 +版本上看;都会说重定向的次数过多 解决方案 方案一 老版本的Asp.net项目framework是不支持Cookie标准属性SameSite,老版本只要在Web.config中配置: <appSettings> <add key="aspnet:SuppressSameSiteNone" value
禁止网站被别人通过iframe引用
dugujiancheng的专栏
06-14 1万+
解决方案一:js方法 这种方法不可靠,不推荐使用 if(self != top) { top.location = self.location; } 复制代码 把上面的JS代码片段放到你页面的 head 中即可。 解决方案二:Meta标签方法 复制代码 以上两种为前端处理方法,就我个人来说不推荐使用,不过这个也是因人而异的,没有绝对
asp.net core下给网站做安全设置方法详解
10-18
- `AddFrameOptionsDeny()`:添加拒绝iframe嵌套的头部策略。 - `AddXssProtectionBlock()`:添加阻止跨站脚本攻击的头部策略。 - `AddContentTypeOptionsNoSniff()`:添加阻止浏览器对MIME类型嗅探的头部策略。 - `...
h5 iframe嵌套页面_如何将一个HTML页面嵌套在另一个页面
weixin_39552037的博客
12-19 5818
展开全部这个在做网页中常e69da5e887aa62616964757a686964616f31333339666636要用到,有些通用的内容可集中放在一个页面文件中,其它要用到这些内容的页面只需要包含(引用)这个通用文件即可。这样便于维护,如果有很多网页,当通用内容需要修改时,只改一个文件就可以了,不需要每个文件单独修改。最典型的应用比如页脚的版权信息等内容可以放在一个叫做footer.html...
X-Frame-Options头未设置 防止网页被iframe内框架调用
01-20
描述: 目标服务器没有返回一个X-Frame-Options头。 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 解决方案: 修改web服务器配置,添加X-frame-options响应头。赋值
asp.Net JS取母板页控件值的简单方法
10-27
在*** Web Forms应用中,母板页(Master Page)是一个非常强大的功能,它允许开发者创建一个可重复使用的页面结构,然后在整个网站或应用程序中应用这个布局。这样可以保证网站风格和布局的一致性。当在母板页中嵌入...
防止网页被其他网页iframe嵌套的思考与实现
weixin_33769125的博客
05-14 2282
防止网页被其他网页iframe嵌套的思考与实现 一、 今天接到一个消息,说我们的登录页面被其他网页嵌套了,不能让其他网页嵌套我们的页面; 二、 风险验证措施: 无法跨域获取iframe页面内DOM元素 window.onload=function(){ var iframe = document.getElementsByTagName("iframe")[0]; ...
X-Frame-Options配置
热门推荐
-JackoChan
08-23 2万+
因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
asp.net 配置 X-Frame-Options
weixin_33909059的博客
07-18 1017
近日网站在安全检查,送检的网站被反馈有以下问题   X-Frame-Options Header未配置 漏洞描述: 弱点描述: X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此 使网站内容不被其他站点引用和免于点击劫持攻击。 修复和改进建议: 一般性的建议: 给您的网站添加X-Frame-Options响应头,赋...
ASP.NET中的IFRAME框架挂马
Taskcnjia的专栏
07-20 470
安全工程师,要能独立负责网站安全、局域网安全、服务器安全等,要了解网页挂马有IFRAME框架挂马、JS文件挂马、伪装挂马、CSS挂马、ActiveX组件挂马等方式,这样才可以有针对性地进行防范,避免网站服务器等安全威胁。下面,我们来迈出成长为安全工程师的第一步,掌握IFRAME框架挂马的底细以及相应的防范方法。 什么是IFRAME框架挂马 网页挂马到如今已经发展出许多方法与应用手段,其中
06.IIS下使用 include 嵌套公用html文件
夜听雪的博客
11-22 627
今天要做一个头部的导航栏,本来想的是用 <router-link> 标签的,但是一个页面上的内容有点多,都放到一起就太臃肿 然后想到之前有个网站的好像用的就是 <!-- #include--> 标签,然后去试了一下,发现没有效果, 搜了一下,发现好像是要SSI的什么服务,但是用的是IIS,就搜了和IIS相关的的 找到了一个方法 打开IIS找到处理程序映射 ...
IIS 部署的网站指定特定的IP可访问
wanglijia26的专栏
07-01 6266
1.打开IIS,选择要设置网站,双击打开“IP地址和域限制” 2.先添加允许访问的IP,点击添加允许条目,输入IP地址 3.最后设置拒绝访问所有,添加拒绝条目,选择IP地址范围,输入0.0.0.0 设置完毕,验证是否OK ...
Asp.net MVC访问框架页中嵌套iframe页面时,如果session或cookie过期,登录验证超时怎样自动跳转到登录页 写代码前后端代码
06-10
3. 在前端页面中,如果页面嵌套iframe,则在iframe加载完成后,判断iframe中的页面是否需要登录验证,如果需要,则向iframe中发送一个心跳请求。 ```javascript function checkIframeLogin() { var iframe = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值