我们经常做一些网站在自己的iframe中来展示,如果一些嵌套的页面被别人回去到,就可以将其展示在他人的网站中,一是会自己的资源被比人占用,二是会形成点击劫持。 X-Frame-Options 响应头是发送给浏览器用来表示是否允许一个页面可否在自己活着其他网站的 iframe 中来展现的标记。网站可以使用此功能,来保护自己网站的页面不能被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 X-Frame-Options 有三个可配置项: DENY:表示该网站页面不允许被嵌套,即便是在自己的域名的页面中也不能进行嵌套。 SAMEORIGIN:表示该页面可以在相同域名页面中被嵌套展示。 ALLOW-FROM uri:表示该页面可以在指定来源页面中进行嵌套展示。 配置 1、apche中进行配置,添加到'site' 块中 Header always append X-Frame-Options SAMEORIGIN 2、Nginx中进行配置,添加到'http', 'server' 或者 'location' 块中 add_header X-Frame-Options SAMEORIGIN;
查看原文:http://www.architecy.com/archives/450
版权声明:本文为verifocus原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。