X-Frame-Options 响应头配置避免点击劫持攻击
来源:互联网 发布:歼20和歼10对比,知乎 编辑:程序博客网 时间:2024/05/16 11:59
X-Frame-Options
HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>
, <iframe>
或者 <object>
中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
X-Frame-Options有三种可配置值X-Frame-Options: DENYX-Frame-Options: SAMEORIGINX-Frame-Options: ALLOW-FROM https://example.com/
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。
注: 在网页中设置meta标签是无用的!例如,<meta http-equiv="X-Frame-Options" content="deny">
是没有效果的。不要使用这种方式。需要在下面的配置实例中配置HTTP Header的方式来进行配置,X-Frame-Options
才会起作用。
配置实例
配置 Apache
Windows平台是在httpd.conf里面添加下面配置;如果是ubuntu是在/etc/apache2/sites-available
下面对应的*.conf文件进行配置
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:
Header always append X-Frame-Options SAMEORIGIN
配置Apache X-Frame-Options deny , 需要把下面这行添加到 'site' 的配置中:
Header set X-Frame-Options DENY
配置Apache X-Frame-Options 设置 ALLOW-FROM 为一个指定的主机,需要把下面这行添加到 'site' 的配置中:
Header set X-Frame-Options "ALLOW-FROM https://example.com/"
配置好后,可能重启Apache2失败,原因是没有安装headers模块,进入到/etc/apache2/mods-available
目录,可以看到
执行命令:# a2enmod headers
即可安装headers模块,安装后可以在/etc/apache2/mods-enabled
目录下看到headers模块可用
安装headers模块成功后,再次执行service apache2 restart
即可重新启动apache
配置 nginx
配置 nginx 发送X-Frame-Options
响应头,需要把下面这行添加到 'http', 'server' 或者 'location' 的配置中:
add_header X-Frame-Options SAMEORIGIN;
配置 IIS
配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
<system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> ...</system.webServer>
配置 HAProxy
配置 HAProxy 发送 X-Frame-Options
响应头, 添加下面这行到 front-end, listen, or backend 配置中:
rspadd X-Frame-Options:\ SAMEORIGIN
- X-Frame-Options 响应头配置避免点击劫持攻击
- X-Frame-Options 响应头避免点击劫持
- X-Frame-Options 响应头
- X-Frame-Options响应头缺失漏洞
- HTTP响应头之X-Frame-Options, X-XSS-Protection
- 点击劫持漏洞:使用X-Frame-Options 防止网页被Frame
- X-Frame-Options配置
- 使用HTTP响应头X-Frame-Options防止网页被Frame
- X-frame-options头为设置
- 点击劫持 Framekiller--恶意frame导致CSRF攻击
- 【全网首发】Tomcat配置“X-Frame-Options头未设置”警告的过滤器(详细)
- X-Frame-Options
- 低危漏洞- X-Frame-Options Header未配置
- 基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击
- 浅析点击劫持攻击(转载)
- 360网站安全提示"X-Frame-Options头未设置"怎么解决
- The X-Frame-Options response header
- The X-Frame-Options response header
- TTL和RS232之间的详细对比<转>
- HTTP请求错误大全总结
- vue踩坑系列——计算属性
- shell中各种括号的作用()、(())、[]、[[]]、{}
- 我的第一个编程
- X-Frame-Options 响应头配置避免点击劫持攻击
- QT与JaveScript 交互
- python中urllib.quote出现KeyError
- git修改name和email
- JS(二十一)有用的JS函数(持续更新)
- Dubbo的超时重试机制带来的数据重复问题
- js插件--1.swal
- vue中的路由编写方法
- 一个特殊的FTP错误550