扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 服务器 >配置您的 Web 服务器以包含 X-Frame-Options 标头
  • 596

0
分享到

配置您的 Web 服务器以包含 X-Frame-Options 标头

服务器前端nginx 2023-09-24 15:09:27 596人浏览 安东尼
摘要

介绍 X-Frame-Options Http 响应头是用来给浏览器指示允许一个页面可否在 , 或者 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了

介绍

X-Frame-Options Http 响应头是用来给浏览器指示允许一个页面可否在 , 或者 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options三个参数:

1、DENY

表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

2、SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示。

3、ALLOW-FROM uri

表示该页面可以在指定来源的frame中展示。

换一句话说,如果设置为DENY,不光在别人的网站frame嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套。正常情况下我们通常使用SAMEORIGIN参数。

检测

配置后如何确定X-Frame-Options是否已生效呢?我这里以Google浏览器为例,打开网站按F12键,选择Network,找到对应的Headers,如下图所示

在这里插入图片描述

配置修复

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

Header always set X-Frame-Options "sameorigin"

要将 Apache 的配置 X-Frame-Options 设置成 deny , 按如下配置去设置你的站点:

Header set X-Frame-Options "deny"

要将 Apache 的配置 X-Frame-Options 设置成 allow-from,在配置里添加:

Header set X-Frame-Options "allow-from https://example.com/"

Nginx配置

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

add_header X-Frame-Options sameorigin always;

允许单个域名iframe嵌套

add_header X-Frame-Options ALLOW-FROM http://whsir.com/;

允许多个域名iframe嵌套,注意这里是用逗号分隔

add_header X-Frame-Options "ALLOW-FROM http://whsir.com/,https://cacti.org.cn/";

IIS配置

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 WEB.config 文件中:

<system.webServer>  ...  <httpProtocol>    <customHeaders>      <add name="X-Frame-Options" value="SAMEORIGIN" />    </customHeaders>  </httpProtocol>  ...</system.webServer>

HAProxy配置

添加下面这行到 ‘front-end, listen, or backend’配置中

rspadd X-Frame-Options:\ sameorigin

或者,在更加新的版本中:

http-response set-header X-Frame-Options sameorigin

Tomcat配置

在 ‘conf/web.xml’填加以下配置

<filter>        <filter-name>httpHeaderSecurity</filter-name>        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>        <init-param>            <param-name>antiClickJackingOption</param-name>            <param-value>SAMEORIGIN</param-value>        </init-param>        <async-supported>true</async-supported>    </filter><filter-mapping>        <filter-name>httpHeaderSecurity</filter-name>        <url-pattern>/*</url-pattern>    <dispatcher>REQUEST</dispatcher>    <dispatcher>FORWARD</dispatcher></filter-mapping>

验证生效

配置后如何确定X-Frame-Options是否已生效呢?打开网站按F12键,选择Network,找到对应的Headers,如下图,即已经生效
在这里插入图片描述

来源地址:https://blog.csdn.net/weixin_45816407/article/details/130570331

--结束END--

本文标题: 配置您的 Web 服务器以包含 X-Frame-Options 标头

本文链接: https://lsjlt.com/news/416946.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
  • 配置您的 Web 服务器以包含 X-Frame-Options 标头
    介绍 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了...
    99+
    2023-09-24
    服务器 前端 nginx
  • 服务器包含的配置技术有哪些
    服务器包含的配置技术有:1、CPU和内存,CPU决定着服务器的性能,服务器应采用专用的ECC校验内存,且与相应的CPU搭配使用;2、芯片组与主板,不同的主板设计对服务器性能产生影响;3、网卡,服务器应当连接在传输速率最快的端口上,且最少配置...
    99+
    2024-04-02
  • 移动云服务器的配置包含哪些
    移动云服务器的配置包括以下几个方面: 服务器硬件:包括服务器的主板和内存,硬盘等。硬件配置的好坏会影响到应用的性能、稳定性等方面。 服务器操作系统:Windows、Linux等常见的操作系统,需要根据具体的操作系统选择相应的版本。 数据...
    99+
    2023-10-26
    服务器
  • 您是否了解 ASP、Bash、Linux 和 Apache 在 Web 服务器配置中的作用?
    随着互联网的发展,Web服务器的配置也变得越来越重要。在这篇文章中,我们将探讨ASP、Bash、Linux和Apache在Web服务器配置中的作用,让您了解它们在Web服务器中的重要性。 ASP ASP(Active Server Page...
    99+
    2023-11-07
    bash linux apache
软考高级职称资格查询
热门wiki
近期文章
推荐阅读
热门问答
热门标签
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。

  • 官方手机版

  • 微信公众号

  • 商务合作