一分钟了解【XFrameOptions设置】
目的
防止出现 点击劫持 :攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
一般来说,后台站点应该设置X-Frame-Options,防止被其他站点嵌入。
设置方式
- 服务端输出header头
X-Frame-Options: SAMEORIGIN #仅允许被同域名页面引入
- nginx配置
add_header X-Frame-Options SAMEORIGIN #server或者http上下文中设置
参数说明
1、DENY:不能被嵌入到任何iframe或者frame中。2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中
参考链接
https://blog.csdn.net/weixin_42728957/article/details/89357550 https://www.haoht123.com/680.html
以上是 一分钟了解【XFrameOptions设置】 的全部内容, 来源链接: utcz.com/z/513578.html