django项目会自动响应头生成X-Frame-Options :DENY导致iframe中的页面被劫持,无法打开的解决方法

最新推荐文章于 2024-06-25 22:12:59 发布
最新推荐文章于 2024-06-25 22:12:59 发布
阅读量971 收藏 1
点赞数
分类专栏: django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfs1570/article/details/123620200
版权

首先理解

X-Frame-Options 有三个值:

DENY

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

解决方法在settings.py配置中MIDDLEWARE加

django.middleware.clickjacking.XFrameOptionsMiddleware

底下配置对应的值如下

关注 公众号 py编程 

 

py编程
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
最全 HTTP 安全响应设置指南
weixin_30293079的博客
07-23 1605
销售“安全记分卡”的公司正在崛起,并已开始成为企业销售的一个因素。这些公司组合使用 HTTP 安全报和 IP 信誉来进行评级。不过,在很大程度上,公司的得分取决于对外开放网站上设置的安全响应。本文介绍了常用的安全响应及对应的推荐安全值,并给出了示例。 销售“安全记分卡”的公司正在崛起,并已开始成为企业销售的一个因素。我从客户那里了解到,他们对从评级低的供应商那里的采购很不放心...
最浅显易懂的Django系列教程(43)-点击劫持攻击
jspython的博客
05-14 374
clickjacking攻击: clickjacking攻击又称作点击劫持攻击。是一种在网页将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。 clickjacking攻击场景: 场景一: 如用户收到一封包含一段视频的电子邮件,但其的“播放”按钮并不真正播放视频,而是链入一购物网站。这样当用户试图“播放视频”时,实际是被诱骗而进入了一个购物网站。 场景二: 用户进入到一个网页,里面包含了一个非常有诱惑力的按钮A,但是这个按钮上面浮了一个透明的iframe标签,这个iframe标签
springsecurity处理框架页
jackyrongvip的专栏
02-18 360
X-Frame-Options 响应 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站去,也从而避免了点击劫持 (clickjacking) 的攻击。 使用 X-Frame-Option...
springBoot springSecurty导致的x-frame-options值为deny问题及跨域问题处理方法
热门推荐
txp1993的专栏
12-24 1万+
1.问题解释说明: X-Frame-OptionsHTTP响应是用来给浏览器 指示允许一个页面 可否在<frame>,<iframe>,<embed>或者<object>展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免被攻击。 X-Frame-Options有三个可能的值: X-Frame-Option...
项目使用iframe嵌入外部网页时提示连接被拒绝
最新发布
weixin_42864357的博客
06-25 3230
X-Frame-Options: HTTP 响应是用来给浏览器 指示允许一个页面 可否在iframe标签,embed标签 或者 标签展现的标记,浏览器拒绝当前页面加载任何Frame页面。即该页面不允许在frame展示,即便是在相同域名的页面嵌套也不允许。即表示该页面可以在相同域名页面frame展示。为允许frame加载的页面地址。即表示该页面可以在指定来源的frame展示。X-Frame-Options可用于指示是否应该允许浏览器呈现在一个页面
django-设置X-Frame-Options响应防止点击劫持攻击
adminwg的博客
10-16 1847
当恶意网站欺骗用户点击另一个网站的隐藏元素时,就发生这种类型的攻击,该元素已被加载到一个隐藏的框架或 iframe 。现代浏览器支持X-Frame-OptionsHTTP ,它表明是否允许在框架或 iframe 加载资源。如果你想为这个设置任何其他的值,可以在配置文件设置其他的值。HTTP 只有在响应还没有出现的情况下,才间件或视图装饰者设置。默认情况下,该间件将为每个传出的响应设置。”按钮,并在不知情的情况下购买该商品。要为你的网站的所有响应设置相同的。”按钮,并在一个透明的。
Spring Boot Activiti 由于“X-Frame-Options指令设为DENY“ 跨域问题
上班搞IT,下班搞ITF。
09-10 1634
@Override public void configure(HttpSecurity http) throws Exception { //放开所有资源请求URL http.authorizeRequests().antMatchers("/*").permitAll(); //取消csrf防护 http.csrf().disable(); // X-Frame-Options 响应跨域,主要是这句 http.headers().frameOptions()...
Header always set X-Frame-Options SAMEORIGIN含义
12-20
Header always set X-Frame-Options SAMEORIGIN的含义是将X-Frame-Options协议设置为SAMEORIGIN。这意味着该页面只能在相同的域名下的框架加载,而不能在其他域名下的框架加载。 这个设置可以防止点击劫持...
Django 开发你不可不知的 7 个 Web 安全
systemino的博客
10-08 518
Web是一个不断发展的平台,有很多向后兼容的问题。新的web安全实践通常来自于对存在缺陷的旧功能的认识。与其通过改变这些功能来破坏旧网站,还不如选择加入一些更安全的设置。你可以通过设置HTTP来实现这一点。 Securityheaders.com是一个由安全顾问Scott Helme运行的工具,它可以在这些安全上创建一个报告。它为任何URL提供从F到A+的...
Django框架 - 19 Django框架总结
韩波的博客
09-09 757
Django框架总结 Web应用 问题1:描述一个Web应用的工作流程。(如上图所示) 问题2:描述项目的物理架构。(上图补充反向代理服务器、负载均衡服务器、数据库服务器、文件服务器、缓存服务器、防火墙等,每个节点都有可能是多节点构成的集群) 问题3:描述Django项目的工作流程。(如下图所示) MVC架构模式 问题1:为什么要使用MVC架构模式?(模型和视图解耦合...
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP的X-Frame-Options信息,需要的朋友可以参考下
Django的X-Frame-Options设置
cn_newer
01-06 9923
Django的X-Frame-Options设置1. 事件起因2. 有关X-Frame-Options2.1 什么是X-Frame-Options2.2 X-Frame-Options选项3.Django有关配置3.1 Django默认的配置3.2 Django总体配置3.3 指定的网页配置4. 参考内容 1. 事件起因 事件的起因是这样的,我在使用Django服务的时候,想在一个已经存在某个按钮...
Django 开发,在上传图片的时候出现:'X-Frame-Options' to 'deny'成功解决办法
zjy123078_zjy的博客
04-05 1231
浏览器默认遵循X-Frame-Options协议,它表明一个资源是否允许加载到frame或者iframe。如果响应包含值为SAMEORIGIN的协议,浏览器frame加载同源请求的资源。如果协议设置为DENY,浏览器在加载frame时屏蔽所有资源,无论请求来自于哪个站点。 Django提供了一些简单的方法来在你站点的响应包含这个协议: (1)一个简单的间件,在所有响应设置...
Django开发“ 'X-Frame-Options' to 'deny'“报错处理
ora_dy的博客
03-20 4118
Django开发过程出现报错 Refused to display 'http://127.0.0.1:8000/index/welcome.html' in a frame because it set 'X-Frame-Options' to 'deny'. 由于借用的是开源模板,百度查询到的问题是frame架构间人攻击的相关bug,但是全是Java的解决方案。找了好久,在谷歌上找到...
django3集成django-mdeditor报 ‘X-Frame-Options‘ 错误
轻编程的博客
12-25 603
背景 使用django3进行开发时,由于项目前端页面使用iframe框架,浏览器错误提示信息如下: Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'根据提示信息发现是因为X-Frame-Options=deny导致的。 X-Frame-Options是什么? The X-Frame-Options HTTP 响应是用来给浏览器 指示允许一个页面 可否在 <frame>, &l
x-frame-options
xiaoyounihao的博客
03-29 322
https://newsn.net/say/x-frame-options-and-iframe.html
Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题
xqhys的博客
02-13 3271
转载:http://www.cnblogs.com/zmc/p/8260786.html spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面  ...
springBoot springSecurty: x-frame-options deny禁止iframe调用
tonysh_zds的博客
11-30 1833
springBoot springSecurty: x-frame-options deny禁止iframe调用 https://blog.csdn.net/whiteforever/article/details/73201586 项目用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错 x-frame-options deny 原因是因为springSecurty使用X-Frame-Options防止网页被Frame 1 .headers().frameOption
curl -I 172.16.16.151:8000 HTTP/1.1 404 Not Found Date: Wed, 31 May 2023 06:39:49 GMT Server: WSGIServer/0.2 CPython/3.6.12 Content-Type: text/html X-Frame-Options: DENY Content-Length: 2284 X-Content-Type-Options: nosniff Referrer-Policy: same-origin 这个是啥web服务器
06-01
响应可以看到,该服务返回的 Server 字段值为 "WSGIServer/0.2 CPython/3.6.12",这意味着该服务是使用 Python WSGI(Web Server Gateway Interface)协议来提供 Web 服务的。具体来说,它使用 WSGIServer 和 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

py编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值