nginx设置X-Frame-Options

已于 2023-03-08 16:22:39 修改
阅读量1w 收藏 5
点赞数
分类专栏: 系统安全 nginx 文章标签: nginx 运维 linux
于 2023-03-05 17:30:44 首次发布
原文链接:http://www.webkaka.com/tutorial/server/2018/011817/
版权

X-Frame-Options选项

X-Frame-Options 有三个值:

DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许

SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示

ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示

打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。

然后在http 或server 配置代码块里某一行添加如下语句即可:

  • add_header X-Frame-Options SAMEORIGIN;

如图所示:

检查是否有错:nginx -t

重新加载:nginx -s reload

解决方法二:

项目加filter控制

项目增加配置过滤器,配置以下代码

HttpServletResponse res = (HttpServletResponse) response;

res.addHeader(“x-frame-options”,”SAMEORIGIN”);

关于nginx的HTTP Response响应头字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 2055
关于nginx的HTTP Response响应头字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应头字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个头字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
01-10
当然也是因为被360检测到了示"X-Frame-Options头未设置",根据360的提示与百度了一些网上的一些资料整理了下,完美解决问题。 首先看下360给出的方案,但么有针对服务器的具体设置,不是每个人对服务器都很懂啊。 描述: 目标服务器没有返回一个X-Frame-Options头。 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将
nginx中的proxy_set_header参数详解
最新发布
m0_74823963的博客
02-26 1343
proxy_set_header 是 Nginx 配置中用于设置代理请求 HTTP 头部的指令。当 Nginx 作为反向代理时,它允许自定义从客户端接收到的请求或添加新的请求头,然后将其转发到后端服务器。这对于维护 HTTP 协议的连贯性、安全性和功能性至关重要。X-My-Header 是一个自定义的请求头字段,用于存储自定义信息。上游服务器可以通过读取 X-My-Header 字段获取自定义信息。
点击劫持:X-Frame-Options未配置、nginx配置X-Frame-Options响应头
更多内容查看博客描述。
04-26 3539
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
nginx 配置 X-Frame-Options
thlzjfefe的博客
03-22 1万+
假如在域名b.com下,有一个html页面test.html,访问路径为:http://b.com/test.html;如果要防止别人在iframe下访问该页面,则可以通过nginx配置实现。 举例如下: 现有页面a.html,http://a.com/a.html,该页面有一个iframe,src=http://b.com/test.html <!DOCTYPE html> ...
nginx 设置X-Frame-Options
09-21
nginx设置X-Frame-Options可以通过在配置文件中添加以下代码实现: ```bash add_header X-Frame-Options SAMEORIGIN; ``` 这将向HTTP响应头中添加X-Frame-Options字段,并将其值设置为SAMEORIGIN,表示只允许...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
- **IIS**:在Web.config文件的`<httpProtocol>`节点下,增加`<customHeaders>`并设置`<add name="X-Frame-Options" value="SAMEORIGIN" />`。 - **Tomcat**:对于基于Tomcat的Java应用,可以创建一个过滤器,添加`...
X-Frame-Options头未设置 防止网页被iframe内框架调用
01-20
描述: 目标服务器没有返回一个X-Frame-Options头。 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免...
nginx设置X-Frame-Options的两种方法
thlzjfefe的博客
03-22 2万+
本文介绍nginx分别通过http和server设置X-Frame-Options,防止网站被别人用iframe嵌入使用。需要说明的是,只需用其中一个方法即可,在http配置代码块或server配置代码块里设置。 在http配置里设置X-Frame-Options 在server配置里设置X-Frame-Options 在http配置里设置X-Frame-Options 打开nginx....
nginx设置X-Frame-Options防止自己的网站被其他人iframe引入
wei042的博客
03-21 3289
nginx设置X-Frame-Options属性,防止网站被别人用iframe嵌入使用。
详解nginx的X-Frame-Options配置字段
当世事再没完美,可远在岁月如歌中找你
09-23 3299
nginx@X-Frame-Options 1 定位 X-Frame-Options ,是一个 HTTP 响应头 = 2 作用 用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记 网站可以使用此功能来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击 = 3 配置参数 DENY:表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允
X-Frame-Options配置
热门推荐
-JackoChan
08-23 2万+
因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
nginx增加X-Frame-Options配置,防止页面被嵌套
yuanwai
05-31 7524
有时候站长不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。 下面是重点: NGINX
Nginx防止点击劫持:X-Frame-Options
qq_36835255的博客
01-13 449
就是禁止页面被iframe引用,X-Frame-Options还有常用的另一个值:SAMEORIGIN,就是页面可以被iframe引用,但只能是同域名的iframe引用,其他域名的ifame标签不能引用这个页面。还有就是前端页面的标签不再支持添加 X-Frame-Options 头,必须在服务器设置,如果配置了HAProxy,同样是要配置在响应头添加X-Frame-Options。我看到很多的所谓AI绘画的网站,其实它就是通过iframe引用了别人的AI绘画的页面。
配置您的 Web 服务器以包含 X-Frame-Options 标头
weixin_45816407的博客
05-09 3318
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值