xFrame

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> Refused to display 'http://xxx' in a frame because it set 'X-Frame-Options' to 'sameorigin' / 'deny' 当页面中 嵌入页面时 可能会报这样的错误 原因： sameorigin 的原因是 在页面中嵌入的 非同源的 页面 deny 的原因是在页面中嵌入的 不许用嵌入的页面 解决： NGINX中可以设置 X-Frame-Options响应头 X-Frame-Options 响应头有三种不同的选项： ALLOW-FROM：页面地址允许frame加载。 SAMEORIGIN：页面地址只能被同源域名页面嵌入到frame中； DENY：页面地址不能被嵌入到任何frame中； 在django中： django中对应这三种类型： xframe_options_exempt xframe_options_sameorigin xframe_options_deny 引入地址： from django.views.decorators.clickjacking import xframe_options_exempt, xframe_options_sameorigin, xframe_options_deny 使用： 在

摘要： 安全是个大学问。 原文： Web 应用安全性: 使用这些 HTTP 头保护 Web 应用 作者： 前端小智 Fundebug 经授权转载，版权归原作者所有。 这是关于web安全性系列文章的第 三 篇，其它的可点击以下查看： Web 应用安全性: 浏览器是如何工作的 Web 应用安全性: HTTP简介 目前，浏览器已经实现了大量与安全相关的头文件，使攻击者更难利用漏洞。接下来的讲解它们的使用方式、它们防止的攻击类型以及每个头后面的一些历史。 HTTP Strict Transport Security (HSTS) HSTS（HTTP Strict Transport Security）国际互联网工程组织IETF正在推行一种新的Web安全协议，HSTS 的作用是强制客户端（如浏览器）使用 HTTPS 与服务器创建连接。 自 2012 年底以来，HTTPS 无处不在的支持者发现，由于 HTTP 严格传输安全性，强制客户端总是使用 HTTP 协议的安全版本更容易：一个非常简单的设置 Strict-Transport-Security: max-age=3600 将告诉浏览器 对于下一个小时（3600秒），它不应该与具有不安全协议的应用程序进行交互。 当用户尝试通过 HTTP 访问由 HSTS 保护的应用程序时，浏览器将拒绝继续访问，自动将 http:// 的 URL 转换为

1、点击劫持 原理： 实质就是“挂羊头卖狗肉”的手法，两个不同的页面，上面的页面是攻击页面，下面是诱导页面 这种攻击利用了HTML中 <iframe> 标签的透明属性。 危害： 盗取用户资料、盗取用户资金、盗用用户身份 防御： 设置X-Frame-Options DENY 浏览器拒绝当前页面加载任何 iframe 页面 SAMEORIGIN iframe 页面的地址只能为同源域名下的页面 ALLOW-FROM origin 为允许 iframe 加载的页面地址 例如（JSP页面中）： response.setHeader("X-Frame-Options", "DENY"); 来源： https://my.oschina.net/u/3993355/blog/3111106