【Nginx】增加X-Frame-Options配置防止页面被嵌套(点击劫持)

已于 2022-05-20 22:47:15 修改
阅读量3.9k 收藏 5
点赞数 1
分类专栏: Nginx 文章标签: nginx 服务器 运维
于 2022-05-11 12:10:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxzone/article/details/124707109
版权

X-Frame-Options

X-Frame-Options 有三个值:

  1. DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
  2. SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
  3. ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。

nginx配置X-Frame-Options头

配置文件一般在 nginx/conf/nginx.conf

add_header X-Frame-Options SAMEORIGIN //加入到服务器配置文件的'http'或者'server'中

配置完成后重启服务器 service nginx restart

怎么确定自己已经开启了呢?

打开自己的网页,在开发者工具中查看是否有此信息,F12→Network→Doc,然后查看headers信息

如图:

姜太小白
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持
点击劫持:X-Frame-Options配置nginx配置X-Frame-Options响应头
最新发布
更多内容查看博客描述。
04-26 982
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
nginx设置X-Frame-Options
zhaofuqiangmycomm的博客
03-05 9223
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。
使用x-frame-optionsnginx配置文件配置 放置frame劫持攻击
shanying0324的博客
03-14 8772
关于x-frame-options结合nginx防止frame劫持攻击相关配置,网关关于frame劫持攻击的配置很多,但是配置 X-Frame-Options ALLOW-FROM uri 在nginx.conf配置文件中在http或者server中配置 add_header X-Frame-Options "ALLOW-FROM http://ex.com"; X-Frame-Optio...
nginx设置X-Frame-Options防止自己的网站被其他人iframe引入
wei042的博客
03-21 2652
nginx设置X-Frame-Options属性,防止网站被别人用iframe嵌入使用。
X-Frame-Optionsnginx配置
weixin_30384031的博客
08-07 220
X-Frame-Options头主要是为了防止站点被别人劫持,iframe引入 nginx配置形式: add_header X-Frame-Options ALLOWALL; #允许所有域名iframe add_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名 add_header X-Frame-Options SANEO...
nginxnginx-http-flv模块windows编译版rtmp
11-07
这包括安装Visual Studio编译器、下载必要的依赖库,如pthreads和zlib,以及配置编译选项。提供的预编译版本(1.19.4)避免了这些复杂步骤,可以直接在Windows上运行,为用户提供了方便。 **直播服务器与流媒体...
ingress-nginx-controller-1.9.yaml
10-18
《Ingress-Nginx控制器与应用部署详解》 在 Kubernetes 集群中,Ingress 是一种用于对外提供服务的资源对象,它定义了外部网络如何访问内部的 Service。Nginx Ingress 控制器是广泛应用的一种解决方案,通过配置 ...
nginx-common-configuration:Nginx常用配置
05-06
Nginx常用配置 Nginx配置。 不是最强大,最有生产力或最好的。 只是有用的配置,我想在开箱即用的默认Nginx包中看到 :grinning_squinting_face: 奖励:nginx的fail2ban,filebeat和docker-compose配置:) 警告:我住...
nginx add_header X-Frame-Options 防跨站点脚本攻击
测试0901-1
12-07 4508
版权声明:本文为博主原创文章,转载请标明出处。 https://blog.csdn.net/ljl890705/article/details/78071601 x-frame-options响应头缺失漏洞。 故名思意,就是返回的响应头信息中没有包含x-frame-options头信息设置。 x-frame-...
详解nginx的X-Frame-Options配置字段
当世事再没完美,可远在岁月如歌中找你
09-23 2776
nginx@X-Frame-Options 1 定位 X-Frame-Options ,是一个 HTTP 响应头 = 2 作用 用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记 网站可以使用此功能来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击 = 3 配置参数 DENY:表示该页面不允许在frame中展示,即便是在相同域名的页面嵌套也不允
nginx设置X-Frame-Options的两种方法
热门推荐
thlzjfefe的博客
03-22 1万+
本文介绍nginx分别通过http和server设置X-Frame-Options防止网站被别人用iframe嵌入使用。需要说明的是,只需用其中一个方法即可,在http配置代码块或server配置代码块里设置。 在http配置里设置X-Frame-Options 在server配置里设置X-Frame-Options 在http配置里设置X-Frame-Options 打开nginx....
nginx增加X-Frame-Options配置防止页面嵌套
lwd2307997664的博客
03-13 6620
nginx增加X-Frame-Options配置防止页面嵌套 文章目录nginx增加X-Frame-Options配置防止页面嵌套一、X-Frame-Options配置添加 一、X-Frame-Options配置添加 生产环境的网站都会添加防盗链,不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面
nginx配置解决点击劫持漏洞
听闻如故的博客
08-02 1869
nginx配置 点击劫持漏洞
java xframeoptions,Header:X-Frame-Options开启与关闭方法
weixin_39869593的博客
03-13 1607
X-Frame-Options头主要是为了防止站点被别人劫持,iframe引入一、nginx配置形式:add_header X-Frame-Options ALLOWALL; #允许所有域名iframeadd_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名add_header X-Frame-Options SANEORIGIN; #允许相同...
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2490
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
Nginx中X-Frame-Options Header未配置
JesJiang的博客
09-25 5102
配置 nginx 发送X-Frame-Options响应头,需要把 add_header X-Frame-Options SAMEORIGIN;添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中: server { listen 8080; server_name localhost; root /hom...
apache iis 使用HTTP 响应头信息中的 X-Frame-Options属性
IT技术宅-北方的刀郎
08-29 2074
原文:https://www.jb51.net/article/109436.htm 方法三:使用HTTP 响应头信息中的 X-Frame-Options属性 使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGINframe页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址...
nginx 解决X-Frame-Options Header未配置漏洞
08-27
对于未配置 X-Frame-Options Header 导致的漏洞,可以通过配置 Nginx 来解决。 首先,确保你已经安装了 Nginx,并且有权限编辑配置文件。 接下来,打开 Nginx配置文件(一般位于 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/default.conf)。 在 server 或 location 块中,添加以下代码来设置 X-Frame-Options Header: ``` add_header X-Frame-Options "SAMEORIGIN"; ``` 这将设置 X-Frame-Options Header 为 SAMEORIGIN,表示该页面只能在相同的域名下的页面嵌套展示。 如果你希望完全禁止页面嵌套,可以使用以下代码: ``` add_header X-Frame-Options "DENY"; ``` 保存配置文件并重新加载 Nginx。 此时,Nginx 已经配置了 X-Frame-Options Header,可以防止跨域嵌套攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姜太小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值