iframe跨域安全

最新推荐文章于 2024-04-08 09:05:53 发布
最新推荐文章于 2024-04-08 09:05:53 发布
阅读量4.5k 收藏 3
点赞数 4
分类专栏: 前端 文章标签: http iframe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoudingding/article/details/108220037
版权

1.响应头X-Frame-Options

响应头X-Frame-Options是用来给浏览器指示允许一个页面可否在<frame>,<iframe>,<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到其他网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

支持的指令

  • DENY
    表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
  • SAMEORIGIN
    表示该页面可以在相同域名页面的frame中展示。
  • ALLOW-FROM uri1,uri2
    表示该页面可以在指定来源的frame中展示。

在nginx中配置

add_header X-Frame-Options DENY;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Frame-Options "ALLOW-FROM http://www.a.com,http:///www.b.com";

兼容性

ALLOW-FROM指令在除IE以外的很多浏览器中无效,如在chrome中报错如下:

Invalid 'X-Frame-Options' header encountered when loading 'http://www.a.com':
 'ALLOW-FROM http://www.a.com' is not a recognized directive.
 The header will be ignored.

2.响应头Content-Security-Policy

响应头Content-Security-Policy允许网站管理员控制允许用户代理为给定页面加载的资源。除少数例外,策略主要涉及指定服务器源和脚本端点。这有助于防止跨站点脚本攻击(XSS)。

支持的指令

  • frame-ancestors uri1 uri2
    允许一个页面可否在<frame>,<iframe>,<object>,<embed>,或<applet>中展现。
    将此指令设置’none’为类似于X-Frame-Options: DENY

在nginx中配置

add_header Content-Security-Policy "frame-ancestors ‘none’";
add_header Content-Security-Policy "frame-ancestors http://www.a.com http://www.b.com";

兼容性

IE浏览器不支持

3.子域名跨域

site1.a.com

document.domain = "a.com";

site2.a.com

document.domain = "a.com"

将不同子域名的站点document.domain设置为相同的基础域名,则可实现跨域访问

路过君_P
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java xframeoptions,Header:X-Frame-Options开启与关闭方法
weixin_39869593的博客
03-13 1559
X-Frame-Options头主要是为了防止站点被别人劫持,iframe引入一、nginx配置形式:add_header X-Frame-Options ALLOWALL; #允许所有域名iframeadd_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名add_header X-Frame-Options SANEORIGIN; #允许相同...
nginx增加X-Frame-Options配置,防止页面被嵌套
yuanwai
05-31 6890
有时候站长不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。 下面是重点: NGINX
Web安全漏洞 之 X-Frame-Options响应头配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http的响应头信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应头有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
Nginx配置Http响应头安全策略_nginx content-security-policy(2)
最新发布
m0_58269520的博客
04-08 924
http {http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
详解iframe跨域的几种常用方法(小结)
11-26
背景 随着业务的发展,自然地会有一些公共的业务被抽离成为公共组件共各个项目使用。但是由于各个项目用到的技术栈都有所不同,所以这个公共组件就不能方便地被引用了。为解决这个问题,我们把这个组件写成了单独的页面挂到一个域名下,其他项目采用iframe或者webview的方式去加载这个页面,从而实现功能的简单复用。 不过这过程中也产生了很多问题,单是跨域就会出现好几次了。以下我将会介绍我遇到的跨域问题以及一些解决方法。 为什么会跨域 为了保证用户信息的安全,95年的时候Netscape公司引进了同源策略,里面的同源指的是三个相同:协议、域名、端口。 违反了同源策略就会出现跨域问题,主要表现为以
PHP、Nginx、Apache中禁止网页被iframe引用的方法
01-20
可以使用php或nginx等添加X-Frame-Options header来控制frame权限X-Frame-Options有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:允许frame加载的页面地址 PHP代码:复制代码 代码如下:header(‘X-Frame-Options:Deny’); Nginx配置:复制代码 代码如下:add_header X-Frame-Options SAMEORIGIN 可以加在locaion中复制代码 代码如下:location /{  add_he
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2453
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
X-Frame-Options响应头配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应头配置详解
nginx add_header X-Frame-Options 防跨站点脚本攻击
测试0901-1
12-07 4469
版权声明:本文为博主原创文章,转载请标明出处。 https://blog.csdn.net/ljl890705/article/details/78071601 x-frame-options响应头缺失漏洞。 故名思意,就是返回的响应头信息中没有包含x-frame-options头信息设置。 x-frame-...
iframe调用页面添加header
weixin_43839871的博客
02-15 7156
场景:对于iframe集成的页面进行权限校验。由于iframe默认的src的不能传递header, 因此需要把iframe调用方式改为ajax,代码如下。写个测试的页面测试下。
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 9499
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
Webkit的跨域安全问题说明
01-19
这里有个简单的测试页面:IE、火狐弹出”hello world”,而chrome,safari,opera毫无反应。 以下是小段测试代码(刻意修改domain,让父页面和子页面为不同域页面): 1.父页面代码: 代码如下: [removed] document.domain = “nunumick.me”; function doTest(){ alert(‘hello world’); } [removed] <iframe src=”http://www.nunumick.me/lab/x-domain/webkit-test.html”> </iframe> 2.子页面代码: 代码如
iframe跨域通信封装详解
09-03
由于前端javascript对跨域访问做了安全限制,所以javascript只能访问与包含它的文档在同一域名下的内容,接下来,小编通过此篇文章给大家介绍iframe跨域通信的封装,需要的朋友可以参考下
javascript iframe跨域详解
11-28
1.什么引起了ajax跨域不能的问题 ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,不允许js代码进行跨域操作,所以会警告。 2.有什么完美的解决方案么? 没有。解决方案有不少,但是只能是根据自己的实际情况来选择。 具体情况有: 一、本域和子域的相互访问: www.aa.com和book.aa.com 二、本域和其他域的相互访问: www.aa.com和www.bb.com 用 iframe 三、本域和其他域的相互访问: www.aa.com和www.bb.com 用 XMLHttpRequest访问代理 四、本域和其他域的相
iframe设置代理解决ajax跨域请求问题
01-19
方案:在服务器端创建一个静态的代理页面,在客户端用iframe调用这个代理,然后通过iframe的document.getElementById(“proxy”).contentWindow对象来请求ajax。 服务器端的代理页面: 代码如下: <!DOCTYPE ...
AttributeError: ‘function‘ object has no attribute ‘to‘
weixin_58170870的博客
09-15 3378
AttributeError: 'function' object has no attribute 'to'
Nginx知识点总结
Chen_leilei的博客
07-18 302
是对服务器有特殊要求的请求,比如请求方法书put delete 或者Content-Type 值为application/json 浏览器会在正式通信之前,发送一次HTTP预检测OPTIONS请求,先询问服务器 当前网页所在的域名是否在服务器的许可名单中,以及可以使用那些http请求方法和同信息,只有得到肯定的答复,浏览器才会发出正式的XHR请求。如果请求的是静态资源,直接到静态资源目录获取资源,如果是动态资源的请求,则利用反向代理的原理,把请求转发给对应后台应用去处理,从而实现动静分离。
配置您的 Web 服务器以包含 X-Frame-Options 标头
weixin_45816407的博客
05-09 2119
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
HTTP 响应头 X-Frame-Options
sayyy的专栏
10-14 3213
jsp iframe 跨域
08-16
当使用JSP页面中的iframe进行跨域访问时,涉及到两个不同的域名或者端口的跨域问题。跨域通常会造成安全隐患,因此浏览器会限制跨域访问。 在JSP中使用iframe跨域访问,有以下解决方案: 1. 代理方式:在JSP页面中使用服务器端的脚本作为中间代理,通过服务器端来请求跨域资源,并将结果返回给iframe。这样iframe只能访问代理服务器,而不是直接访问跨域资源,从而避免了跨域限制。 2. JSONP方式:JSONP(JSON with Padding)是一种跨域通信的技术。可以通过动态创建一个 `<script>` 标签,并以参数的形式传递到跨域服务器上,跨域服务器将返回一个特定格式的脚本响应。这样通过回调函数的方式,能够在原页面中获取到跨域服务器返回的数据。 3. PostMessage方式:PostMessage是HTML5新增的一种跨文档通信机制。它能够在不同窗口的文档之间安全地传递信息。可以在iframe所在的父页面中监听message事件,然后通过postMessage方法将需要传递的数据发送给iframeiframe接收到数据后进行处理。 总的来说,JSP页面中使用iframe进行跨域访问可以通过代理方式、JSONP方式或者PostMessage方式解决。这些方案都可以绕过浏览器的同源策略限制,实现跨域访问目标资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路过君_P

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值