【建站知識】360安全檢測出輕微 X-Frame-Options頭未設定,iis、apache、nginx使用X-Frame-Options防止網頁被Frame的解決方法
當然也是因為被360檢測到了示"X-Frame-Options頭未設定",根據360的提示與百度了一些網上的一些資料整理了下,完美解決問題。
首先看下360給出的方案,但麼有針對伺服器的具體設定,不是每個人對伺服器都很懂啊。
描述: 目標伺服器沒有返回一個X-Frame-Options頭。
X-Frame-Options HTTP響應頭是用來確認是否瀏覽器可以在frame或iframe標籤中渲染一個頁面,網站可以用這個頭來保證他們的內容不會被嵌入到其它網站中,以來避免點選劫持。
危害: 攻擊者可以使用一個透明的、不可見的iframe,覆蓋在目標網頁上,然後誘使使用者在該網頁上進行操作,此時使用者將在不知情的情況下點選透明的iframe頁面。通過調整iframe頁面的位置,可以誘使使用者恰好點選iframe頁面的一些功能性按鈕上,導致被劫持。
解決方案:
修改web伺服器配置,新增X-frame-options響應頭。賦值有如下三種:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:頁面只能被本站頁面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
也可在程式碼中加入,在PHP中加入:
header('X-Frame-Options: deny');
下面繼續來看下指令碼之家從網上整理的更詳細的方法
防止網頁被Frame,方法有很多種;
方法一: 常見的比如使用js,判斷頂層視窗跳轉:
(function () { if (window != window.top) { window.top.location.replace(window.location); //或者幹別的事情 } })();
一般這樣夠用了,但是有一次發現失效了,看了一下人家網站就是頂層視窗中的程式碼,發現這段程式碼:
var location = document.location; // 或者 var location = "";
輕輕鬆鬆被破解了,悲劇。
方法二: meta 標籤:基本沒什麼效果,所以也放棄了:
<meta http-equiv="Windows-Target" contect="_top">
方法三:使用HTTP 響應頭資訊中的 X-Frame-Options屬性
使用 X-Frame-Options 有三個可選的值:
DENY
:瀏覽器拒絕當前頁面載入任何Frame頁面SAMEORIGIN
:frame頁面的地址只能為同源域名下的頁面ALLOW-FROM
:origin為允許frame載入的頁面地址
絕大部分瀏覽器支援:
Feature | Chrome | Firefox (Gecko) | Internet Explorer | Opera | Safari |
---|---|---|---|---|---|
Basic support | 4.1.249.1042 | 3.6.9(1.9.2.9) | 8.0 | 10.5 | 4.0 |
配置 IIS
IIS6中通過HTTP頭設定即可
IIS7中可以通過web.config也可以通過類似上面的設定
配置 IIS 傳送 X-Frame-Options 響應頭,新增下面的配置到 Web.config 檔案中:
<system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> ... </system.webServer>
圖文介面設定
配置 Apache
配置 Apache 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到 ‘site' 的配置中:
Header always append X-Frame-Options SAMEORIGIN
配置 nginx
配置 nginx 傳送 X-Frame-Options 響應頭,把下面這行新增到 ‘http', ‘server' 或者 ‘location' 的配置中:
add_header X-Frame-Options SAMEORIGIN;
HAProxy配置
rspadd X-Frame-Options:\ SAMEORIGIN
tomcat 與X-Frame-Options
公司專案是隻用了tomcat作為web伺服器 ,網上搜的的內容好像並不符合我的要求。
本來的想法是在每個jsp頁面中加
<% response.addHeader("x-frame-options","SAMEORIGIN"); %>
可後來想想這種方法太蠢,萬一過不了測試還要改過來。
於是又想到了一個方法,在專案原本的過濾器中加了如下程式碼
HttpServletResponse response = (HttpServletResponse) sResponse; response.addHeader("x-frame-options","SAMEORIGIN");
貌似起了作用 等待客戶測試吧!
具體可以檢視:
結果
在 Firefox 嘗試載入 frame 的內容時,如果 X-Frame-Options 響應頭設定為禁止訪問了,那麼 Firefox 會用 about:blank 展現到 frame 中。也許從某種方面來講的話,展示為錯誤訊息會更好一點。
用虛擬主機的使用者怎麼辦呢
PHP和JSP等動態檔案更方便
改一下頭資訊
PHP程式碼:
header(‘X-Frame-Options:SAMEORIGIN');
JSP程式碼:
response.setHeader(“X-Frame-Options”,”SAMEORIGIN”);
ASP程式碼:
<%Response.AddHeader "X-Frame-Options","SAMEORIGIN"%>
ASP.NET程式碼:
Response.AddHeader("X-Frame-Options", "Deny");
還是那句話如果確認你整個網站都不能被框架,可以直接設定web伺服器,增加X-Frame-Options響應頭。IIS如下圖所示,增加http頭,參考上面的iis6與iis7中的設定方法
瀏覽器對X-Frame-Options響應頭的支援如下
瀏覽器 | 版本支援 |
---|---|
IE | 8.0+ |
Firefox | 3.6.9+ |
Opera | 10.50+ |
Safari | 4.0+ |
Chrome | 4.1.249.1024+ |