一分钟了解【X-Frame-Options设置】

浪尽此生 提交于 2020-02-26 19:21:10

含义

通过设置X-Frame-Options来控制网页能否被frame或iframe嵌入。

目的

防止出现 点击劫持 :攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

一般来说,后台站点应该设置X-Frame-Options,防止被其他站点嵌入。

设置方式

  • 服务端输出header头
X-Frame-Options: SAMEORIGIN  #仅允许被同域名页面引入
  • nginx配置
add_header X-Frame-Options SAMEORIGIN #server或者http上下文中设置

参数说明

1、DENY:不能被嵌入到任何iframe或者frame中。
2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中

参考链接

https://blog.csdn.net/weixin_42728957/article/details/89357550 https://www.haoht123.com/680.html

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!