安全头响应头(二)​X-Frame-Options​

这篇具有很好参考价值的文章主要介绍了安全头响应头(二)​X-Frame-Options​。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一  X-Frame-Options

1) CSP 安全头与'前端编程'息息相关,后续通过对'CSP'头的理解加深对'前端知识'的理解

①  点击劫持

说明:X-FRAME-OPTIONS是'微软'提出的一个http头,专门用来防御利用'iframe嵌套'的点击劫持攻击

相关参考 

②  简介

背景: 出于安全考虑,希望控制'other系统'是否可以嵌套'自身'系统的页面

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

③  语法

理解:'DENY' 和 'SAMEORIGIN' 这两个'属性值'的含义

1) DENY: 不允许'任何网站[包含当前网站]'嵌套'自己网站'的页面

备注:嵌套方式 --> 'iframe'等

2) SAMEORIGIN: 只允许'相同域名的地址(自身)'使用iframe嵌套页面

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

原因:谷歌浏览器较'新版'不支持ALLOW-FROM

办法:用另一个响应头Content-Security-Policy代替,配置其中的'frame-ancestors'

④  案例

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

⑤  浏览器支持情况

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

⑥  思考

1) 如果不指定'​X-Frame-Options'响应头,浏览器的'默认'行为?

2) 如何允许'第三方网站'嵌入我们站点的'页面'?

二  CSP之frame-ancestors

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

①  document.domain+iframe

思考:为什么要'资源内嵌' iframe   --> 解决跨域问题

特点: 这个方法只能用于同一个主域下'不同子域之间'的'跨域'请求

②   frame-ancestors简介

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

③  语法

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

④  Sources源形式

1) 'host-source'

 安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

2) 'scheme-source'、'self'、'none'

1、'none': 同'X-Frame-Options: DENY'类似,不允许任何页面使用'iframe'嵌套

2、'self': 只允许'同源' iframe等嵌套页面

细节点: 可能不包含'data:'、'blob:'、'filesystem'

3、'scheme-source'、'host-source' 白单名形式

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

⑤  案例讲解 

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

⑥  nginx添加

add_header Content-Security-Policy "frame-ancestors 'self' http://*.aaa.com";

add_header Content-Security-Policy "frame-ancestors wzj.com nginx.com";

细节点: '单双'、'引号'、'空格'

遗留: 是否能将'CSP'多个'属性'分别设置多个'add_header Content-Security-Policy',可读性

⑦  iframe内嵌框架使用案例

操作页面内嵌的iframe和iframe传递消息    使用iframe既觉跨域

vue项目使用 vue.config.js 解决跨域

1) 'html资源'和'nginx配置'如下:

说明: 本文不探究'iframe'的具体用法,主要是探究CSP头'frame-ancestors'属性

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

2) '浏览器'请求现象 --> 被'Refused拒绝'

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

3) '浏览器' Console '报错'

解决策略: 把我们的'公网ip'添加到'百度服务器'CSP头'frame-ancestors'中

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

⑧ frameset了解

安全头响应头(二)​X-Frame-Options​,HTTP,前端,linux,javascript

⑨  遗留

1) 要对CSP '选项'进行详细的说明

self  --> 代指什么 --> 能解析到nginx所在节点的'所有域名'吗? --> eg: CNAME

2) 各种'选项'的说明

3) 默认继承全局'default-src',如果自定义选项则'覆盖'全局的

4) data: ws: wss: 等 --> * 不包含哪些?

CORS常见错误   各种proxy代理环境变量   linux设置网络代理   no_proxy拉取镜像不生效文章来源地址https://www.toymoban.com/news/detail-547283.html

到了这里,关于安全头响应头(二)​X-Frame-Options​的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • web漏洞-缺少X-Frame-Options标头

            X-Frame-Options HTTP 响应头, 可以指示浏览器是否应该加载一个 iframe 中的页面。 网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。         属于一种具有迷惑性高、利用难度中等、攻击方式单一的攻击手法。         当X

    2023年04月15日
    浏览(38)
  • 配置您的 Web 服务器以包含 X-Frame-Options 标头

    X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame, /iframe 或者 object 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 1、DENY 表示该页面不允许在frame中展示,即便是在相

    2024年02月09日
    浏览(30)
  • Django:六、使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set ‘X-Frame-Options‘ to ‘deny‘.

    使用标签内嵌页面时报错: 127.0.0.1 拒绝了我们的连接请求。 查看错误代码,发现: Refused to display \\\'http://127.0.0.1:8000/\\\' in a frame because it set \\\'X-Frame-Options\\\' to \\\'deny\\\'. 由于x-frame-options设置了deny属性,导致了iframe失效,x-frame-options响应头是用来给浏览器设置允许一个页面可否在fra

    2024年02月03日
    浏览(49)
  • 安全头响应头(三)​X-Content-Type-Options

    一  X-Content-Type-Options响应头                                             script标签  style  StyleSheet    JavaScript MIME type 文件扩展和Content-Type的映射关系 ①  基础铺垫 nginx(十八)mime.types的作用 ②  浏览器默认行为   ③    问题引入 现象及其相似  location和alias的搭配问

    2024年02月12日
    浏览(38)
  • HTTP协议安全头部X-Content-Type-Options引入的问题

    本文于2016年4月完成,发布在个人博客网站上。 考虑个人博客因某种原因无法修复,于是在博客园安家,之前发布的文章逐步搬迁过来。 前段时间测试MM反馈了一个问题,在富文本编辑器里上传的图片无法正常呈现。因为Jackie在本机的环境上没有观察类似的现象,而恰好那天

    2024年02月04日
    浏览(49)
  • 关于nginx HTTP安全响应问题

    目录 一、背景 二、http基本安全配置 2.1 host头攻击漏洞 2.2 http method 请求方式攻击漏洞 2.3 点劫持漏洞(X-Frame-Options)  2.4 X-Download-Options响应头缺失 2.5 Content-Security-Policy响应头缺失 2.6 Strict-Transport-Security响应头缺失 2.7 X-Permitted-Cross-Domain-Policies响应头缺失 2.8 Referrer-Policy响应头

    2024年02月11日
    浏览(39)
  • Spring Security漏洞防护—HTTP 安全响应头

    Spring Security提供了 一套默认的安全HTTP响应头,以提供安全默认值。虽然这些头信息中的每一个都被认为是最佳实践,但应该注意的是,并不是所有的客户端都使用这些头信息,所以鼓励进行额外的测试。 你可以定制特定的header。例如,假设你想使用默认值,但你希望为 X-

    2024年02月03日
    浏览(38)
  • 【仿写tomcat】四、解析http请求信息,响应给前端,HttpServletRequest、HttpServletResponse的简单实现

    在解析请求之前我们要思考一个问题,我们解析的是其中的哪些内容? 对于最基本的实现,当然是 请求类型 , 请求的url 以及 请求参数 ,我们可以根据请求的类型作出对应的处理,通过url在我们的mapstore中找到servlet, 那么请求的参数我们是不是还没有储存的地方呢? 所以

    2024年02月12日
    浏览(40)
  • Web安全测试(二):HTTP状态码、响应和url详解

    结合内部资料,与安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬! 全部文章请访问专栏: 《全栈安全测试教程(0基础

    2024年02月11日
    浏览(40)
  • [Linux]HTTP状态响应码和示例

    1xx:信息响应类,表示接收到请求并且继续处理 2xx:处理成功响应类,表示动作被成功接收、理解和接受 3xx:重定向响应类,为了完成指定的动作,必须接受进一步处理 4xx:客户端错误,客户请求包含语法错误或者是不能正确执行 5xx:服务端错误,服务器不能正确执行一个

    2024年01月24日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包