<sub id="ndxjt"></sub>

          <track id="ndxjt"><big id="ndxjt"><listing id="ndxjt"></listing></big></track>

                    <sub id="ndxjt"><meter id="ndxjt"></meter></sub>
                     

                    X-Frame-Options頭未設置 防止網頁被iframe內框架調用

                    http://www.36065980.com 2018年07月27日22:05 浠水網

                    描述: 目標服務器沒有返回一個X-Frame-Options頭。

                    X-Frame-Options HTTP響應頭是用來確認是否瀏覽器可以在frame或iframe標簽中渲染一個頁面,網站可以用這個頭來保證他們的內容不會被嵌入到其它網站中,以來避免點擊劫持。

                    危害: 攻擊者可以使用一個透明的、不可見的iframe,覆蓋在目標網頁上,然后誘使用戶在該網頁上進行操作,此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置,可以誘使用戶恰好點擊iframe頁面的一些功能性按鈕上,導致被劫持。

                    解決方案:

                    修改web服務器配置,添加X-frame-options響應頭。賦值有如下三種:

                    (1)DENY:不能被嵌入到任何iframe或frame中。
                    (2)SAMEORIGIN:頁面只能被本站頁面嵌入到iframe或者frame中。
                    (3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

                    也可在代碼中加入,在PHP中加入:

                    header('X-Frame-Options: deny');

                    防止某些重要網頁被其他網站框架導入,可以給頁面增加X-Frame-Options響應頭,這樣瀏覽器會依據X-Frame-Options的值來控制iframe框架的頁面是否允許加載顯示出來,IE下的效果如下(此內容無法再框架中顯示。為了幫助保護在此網站中輸入的信息安全,此內容的發行者不允許在框架中顯示該信息),其他非IE核心瀏覽器會顯示空白內容。

                    動態頁添加X-Frame-Options響應頭示例代碼

                    asp

                    1
                    2
                    3
                    <%
                    response.AddHeader "X-Frame-Options","Deny"
                    %>

                    Asp.Net

                    1
                    Response.AddHeader("X-Frame-Options", "Deny");

                    PHP

                    1
                    header('X-Frame-Options:Deny');

                    如果確認你整個網站都不能被框架,可以直接設置web服務器,增加X-Frame-Options響應頭。IIS如下圖所示,增加http頭

                    X-Frame-Options響應頭可用值有

                    1. DENY:瀏覽器拒絕當前頁面加載任何Frame頁面
                    2. SAMEORIGIN:frame頁面的地址只能為同源域名下的頁面
                    3. ALLOW-FROM:origin為允許frame加載的頁面地址

                    瀏覽器對X-Frame-Options響應頭的支持如下

                    瀏覽器 版本支持
                    IE 8.0+
                    Firefox 3.6.9+
                    Opera 10.50+
                    Safari 4.0+
                    Chrome 4.1.249.1024+


                    發表評論
                    上一篇IIS中http頭的作用
                    下一篇
                    正在加載中……
                    湖北快三走势图

                          <sub id="ndxjt"></sub>

                            <track id="ndxjt"><big id="ndxjt"><listing id="ndxjt"></listing></big></track>

                                      <sub id="ndxjt"><meter id="ndxjt"></meter></sub>

                                            <sub id="ndxjt"></sub>

                                              <track id="ndxjt"><big id="ndxjt"><listing id="ndxjt"></listing></big></track>

                                                        <sub id="ndxjt"><meter id="ndxjt"></meter></sub>