HTTP 响应头 X-Frame-Options

这篇具有很好参考价值的文章主要介绍了HTTP 响应头 X-Frame-Options。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

简介

X-Frame-Options HTTP 响应头用来给浏览器一个指示。该指示的作用为:是否允许页面在 <frame>, </iframe> 或者 <object> 中展现。
网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

重点1:当访问网页浏览器支持 X-Frame-Options 时,有效。
重点2:Content-Security-Policy (CSP) HTTP 响应头有一个名为 frame-ancestors 的指令,有相同的作用。支持CSP frame-ancestors 指令的浏览器已经废弃了 X-Frame-Options 响应头。

语法

X-Frame-Options: DENY

X-Frame-Options: SAMEORIGIN

检查 X-Frame-Options 是否已生效

以Google浏览器为例,打开网站按F12键,选择Network,找到对应的Headers,如下图所示
设置x-frame-options,nginx,spring-boot,http

测试 X-Frame-Options 是否已生效

https://clickjacker.io/
设置x-frame-options,nginx,spring-boot,http

Nginx 配置 X-Frame-Options

配置 Nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

add_header X-Frame-Options SAMEORIGIN always;

了解 Nginx 的 add_header 指令入口

spring boot 配置 X-Frame-Options

启用 X-Frame-Options

支持SAMEORIGIN的设置方式:

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends DefaultWebSecurityConfigurer {
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        http.headers().frameOptions().sameOrigin();
 
    }
}

禁用 X-Frame-Options

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends DefaultWebSecurityConfigurer {
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        http.headers().frameOptions().disable();
    }
}

参考

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Frame-Options
https://blog.csdn.net/zzhongcy/article/details/124609116
https://blog.csdn.net/u014704612/article/details/115633050文章来源地址https://www.toymoban.com/news/detail-765420.html

到了这里,关于HTTP 响应头 X-Frame-Options的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP

    2024年02月07日
    浏览(43)
  • 配置您的 Web 服务器以包含 X-Frame-Options 标头

    X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame, /iframe 或者 object 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 1、DENY 表示该页面不允许在frame中展示,即便是在相

    2024年02月09日
    浏览(30)
  • Django:六、使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set ‘X-Frame-Options‘ to ‘deny‘.

    使用标签内嵌页面时报错: 127.0.0.1 拒绝了我们的连接请求。 查看错误代码,发现: Refused to display \\\'http://127.0.0.1:8000/\\\' in a frame because it set \\\'X-Frame-Options\\\' to \\\'deny\\\'. 由于x-frame-options设置了deny属性,导致了iframe失效,x-frame-options响应头是用来给浏览器设置允许一个页面可否在fra

    2024年02月03日
    浏览(49)
  • 12-HTTP-response设置响应头

    1、设置单个响应头:使用setHeader(String name, String value)方法可以设置HTTP响应的单个头部。 以下代码设置一个名为Content-Type的头部,它指定了HTML文档的MIME类型和字符集: 2、添加多个响应头:使用addHeader(String name, String value)方法可以添加HTTP响应的多个头部,它们具有相同的名

    2024年02月15日
    浏览(30)
  • Nodejs基础6之HTTP模块的获取请求行和请求头、获取请求体、获取请求路径和查询字符串、http请求练习、设置HTTP响应报文、http响应练习

    含义 语法 重点掌握 请求方法 request.method * 请求版本 request.httpVersion 请求路径 request.url * URL 路径 require(‘url’).parse(request.url).pathname * URL 查询字符串 require(‘url’).parse(request.url, true).query * 请求头 request.headers * 请求体 request.on(‘data’, function(chunk){}),request.on(‘end’, functio

    2024年02月20日
    浏览(43)
  • Chrome浏览器设置header请求 响应头 使用 Chrome ModHeader插件,添加/修改/删除HTTP请求标头和响应标头

    ModHeader插件支持添加/修改/删除请求标头和响应标头,并可以启用基于URL /资源类型的标题修改。 添加扩展程序,并且开启使用 在浏览器右上角的扩展程序中,确认ModHeader是否已经适用 点击modHeader,开启 在窗口的+号上,可以添加其他属性。进行修改,删除,置空 修改heade

    2024年02月11日
    浏览(108)
  • 安全头响应头(三)​X-Content-Type-Options

    一  X-Content-Type-Options响应头                                             script标签  style  StyleSheet    JavaScript MIME type 文件扩展和Content-Type的映射关系 ①  基础铺垫 nginx(十八)mime.types的作用 ②  浏览器默认行为   ③    问题引入 现象及其相似  location和alias的搭配问

    2024年02月12日
    浏览(38)
  • 你真的知道 HTTP OPTIONS 方法的作用吗?

    目录 HTTP OPTIONS 方法定义 HTTP OPTIONS 请求格式 HTTP OPTIONS 响应格式 OPTIONS 方法的作用与使用场景 OPTIONS 响应的头部信息详解 小结 HTTP(Hypertext Transfer Protocol,超文本传输协议)是互联网中被使用最广的一种网络协议,用于客户端与服务器之间的通信。HTTP 协议定义了一系列的请

    2024年04月26日
    浏览(32)
  • Selenium Webdriver options的实用参数设置

    1、关闭Chrome浏览器受自动控制的提示   2、关闭是否保存密码的弹窗   3、下载文件时自动下载到指定的目录,不要弹出保存文件对话框   4、下载文件完成后不要扫描文件,减少等待的时间   5、关闭是否允许同时下载多个文件的提示   6、跳过网站检测爬虫 注意:这一语句

    2024年01月25日
    浏览(33)
  • HTTP协议安全头部X-Content-Type-Options引入的问题

    本文于2016年4月完成,发布在个人博客网站上。 考虑个人博客因某种原因无法修复,于是在博客园安家,之前发布的文章逐步搬迁过来。 前段时间测试MM反馈了一个问题,在富文本编辑器里上传的图片无法正常呈现。因为Jackie在本机的环境上没有观察类似的现象,而恰好那天

    2024年02月04日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包