HTTP响应头中的 X-Frame-Options

     809     11月-02,16    

HTTP响应头中的 X-Frame-Options 可以用于设置网站是否应该允许浏览器使用<frame>、< iframe>,或<object>渲染页面。网站可以通过确保其内容不是嵌入到其他网站来避免“点击劫持”攻击。

使用 X-Frame-Options:

X-Frame-Options 有三个值:

DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM:表示该页面可以在指定来源的 frame 中展示。

如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

使用方法:

nginx:

配置 nginx 发送 X-Frame-Options 响应头,添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中,如:

IIS:

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

Apache:

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

 

你需要先 登录 才能发表评论.