X-Frame-Options配置

最新推荐文章于 2024-12-13 22:36:50 发布
最新推荐文章于 2024-12-13 22:36:50 发布
阅读量2.3w 收藏 6
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 配置 文章标签: X-Frame-Options Apache Linux Ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JACKO_CHAN/article/details/52279141
本文介绍了如何在Apache、Nginx及IIS服务器中设置X-Frame-Options响应头,以控制页面是否允许在iframe中展示,并提供了具体的配置方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~

X-Frame-Options:

他的值有三个:

(1)DENY --- 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

(2)SAMEORIGIN --- 表示该页面可以在相同域名页面的 frame 中展示。

(3)ALLOW-FROM https://example.com/ --- 表示该页面可以在指定来源的 frame 中展示。


配置Apache:

(如果是在本地的话,就是在httpd.conf里面配置;如果是linux(ubuntu的话)就是在apache2.conf里面)

找个空的位置加入这行代码,具体看你是选择哪种

<span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGIN</span>

有可能会遇到一种情况,就是我在服务端配置完apache之后,尝试 Restart Apache 但是报了一个错误:

Invalid command ‘Header’, perhaps misspelled or defined by a module not included in the server configuration

header的方法模块没有安装,我们需要先自行安装一下:

先输入 a2enmod heade ,然后需要重启一下Apache,输入service apache2 restart


配置Nginx:

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

<span style="font-size:14px;">add_header X-Frame-Options SAMEORIGIN;</span>


配置IIS:

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>


大概配置就是这样了,之前在寻找配置iframe加载的时候,看到有些文章说iframe加载容易被劫持,当然也有破解的方法,不过没有详细地去看,有兴趣的朋友可以去了解下!大笑

web漏洞-点击劫持:X-Frame-Options未设置-低危
Amdy_amdy的博客
07-26 3019
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一...
Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 1032
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
nginx设置X-Frame-Options
weixin_46742102的博客
08-23 3392
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。重新加载:nginx -s reload。
HTTP 响应头 X-Frame-Options
sayyy的专栏
10-14 5358
Django的X-Frame-Options设置
cn_newer
01-06 1万+
Django的X-Frame-Options设置1. 事件起因2. 有关X-Frame-Options2.1 什么是X-Frame-Options2.2 X-Frame-Options选项3.Django有关配置3.1 Django默认的配置3.2 Django总体配置3.3 指定的网页配置4. 参考内容 1. 事件起因 事件的起因是这样的,我在使用Django服务的时候,想在一个已经存在某个按钮...
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
【X-Frame-Options详解及应用】 X-Frame-Options 是一种网络安全策略,它通过设置HTTP响应头来控制浏览器是否可以在iframeframe标签中展示页面内容。这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用...
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
为了防范这种攻击,网站管理员应该在服务器端配置X-Frame-Options头,指示浏览器是否允许页面在frame或iframe中显示。X-Frame-Options头有三种可能的值: 1. **DENY**:不允许任何域加载此页面,包括同一域下的页面...
X-Frame-Options相关文件
08-27
1. **渗透报告.doc** - 这可能是一份关于网络安全渗透测试的报告,详细记录了测试过程和发现的问题,其中包括X-Frame-Options头缺失或不当配置的情况。 2. **tomcat-juli-9.0.11.jar** - 这是Apache Tomcat服务器的...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
X-Frame-Options简介
最新发布
2301_79455190的博客
12-13 3047
nginx配置示例:add_header X-Frame-Options ‘ALLOW-FROM https://xxx.xxxxxx.com’;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面可以在相同域名页面的frame中展示。
X-Frame-Options
hjh_cos
10-30 8298
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<ifr
x-frame-options
xiaoyounihao的博客
03-29 784
https://newsn.net/say/x-frame-options-and-iframe.html
HTTP X-Frame-Options
Adongqin的专栏
12-21 422
X-Frame-Options       X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面&lt;FRAME&gt;   或 &lt;IFRAME&gt;中. 以确保网站内容是不是嵌入到其它网站.   &lt;head&gt; &lt;meta http-equiv="Content-Type" content="text...
安全头响应头(二)​X-Frame-Options
wzj_110的博客
07-06 4769
Sources源形式。
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
X-Frame-Options springboot 配置
07-25
X-Frame-Options 是一种 HTTP 安全标头,用于防止网页被嵌入到其他网站的 iFram 中。这可以防止点击劫持攻击、框架套取和其他安全风险。 在 Spring Boot 应用中配置 `X-Frame-Options` 标头的方法如下: ### 1. 添加依赖 如果你还没有添加 `spring-boot-starter-web` 相关依赖,可以在 `pom.xml` 文件中添加它: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` ### 2. 使用配置类定制 `X-Frame-Options` Spring 提供了一个简单的机制来设置 HTTP 头信息。你可以创建一个新的配置类来覆盖默认的 `X-Frame-Options` 设置。 假设有一个名为 `WebConfigCustomizer.java` 的配置类: ```java import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfigCustomizer implements WebMvcConfigurer { @Override public void configureMessageSecurity(MessageSecurityContextFactoryBean factory) { // 这里可以添加更多消息安全相关的配置 } @Override public void addInterceptors(InterceptorRegistry registry) { // 这里可以添加拦截器配置 } @Override public void addCorsMappings(CorsRegistry registry) { // CORS 配置 } /** * 配置 X-Frame-Options 标头。 */ @Override public void addHeaders(HttpHeaderRepository headers) { String xFrameOptions = "SAMEORIGIN"; headers.put("X-Frame-Options", xFrameOptions); } } ``` 在这个例子中,我们简单地设置了 `X-Frame-Options` 为 "SAMEORIGIN"。这个值意味着只有来自同源的页面才能加载该页面作为 iFrame 内容。 ### 3. 启动应用并验证 启动 Spring Boot 应用程序,然后通过浏览器访问应用 URL,并检查响应头中的 `X-Frame-Options` 标头是否已经被设置为你所期望的值。 ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值