如何防止自己的網站被比人巢狀在, 中
阿新 • • 發佈:2019-02-05
我們經常做一些網站在自己的iframe中來展示,如果一些巢狀的頁面被別人回去到,就可以將其展示在他人的網站中,一是會自己的資源被比人佔用,二是會形成點選劫持。 X-Frame-Options 響應頭是傳送給瀏覽器用來表示是否允許一個頁面可否在自己活著其他網站的 iframe 中來展現的標記。網站可以使用此功能,來保護自己網站的頁面不能被嵌到別人的網站中去,也從而避免了點選劫持 (clickjacking) 的攻擊。 X-Frame-Options 有三個可配置項: DENY:表示該網站頁面不允許被巢狀,即便是在自己的域名的頁面中也不能進行巢狀。 SAMEORIGIN:表示該頁面可以在相同域名頁面中被巢狀展示。 ALLOW-FROM uri:表示該頁面可以在指定來源頁面中進行巢狀展示。 配置 1、apche中進行配置,新增到'site' 塊中 Header always append X-Frame-Options SAMEORIGIN 2、Nginx中進行配置,新增到'http', 'server' 或者 'location' 塊中 add_header X-Frame-Options SAMEORIGIN;
檢視原文:http://www.architecy.com/archives/450