如斯帮助中心
Web漏洞之 X-Frame-Options 未设置

在开发过程中我们很少会注意到X-Frame-Options,说白了这东西就是告诉浏览器你的当前页面是否允许放入到一个iframe中。它有三个值、允许、不允许、允许相同域名下的iframe中显示。

  • DENY:浏览器拒绝当前页面加载任何Frame页面
  • SAMEORIGIN:frame页面的地址只能为同源域名下的页面
  • ALLOW-FROM:origin为允许frame加载的页面地址

解决方案:
Nginx:

/usr/local/nginx/config/nginx.config 找到’http’, ‘server’ 或者 ‘location’ 加入下面的代码:
add_header X-Frame-Options SAMEORIGIN;
重启nginx 

Apache:

  1. 打开httpd.conf。
  2. 把#LoadModule headers_module前面的#号去掉即可。
  3. 同样是在 httpd.conf 文件里,在最后面添加一行如下代码:
Header always append X-Frame-Options SAMEORIGIN

摘要 在开发过程中我们很少会注意到X-Frame-Options,说白了这东西就是告诉浏览器你的当前页面是否允许放入到一个iframe中。它有三个值、允许、不允许、允许相同域名下的iframe中显示。 * DENY:浏览器拒绝当前页面加载任何Frame页面 * SAMEORIGIN:frame页面的地址只能为同源域名下的页面 * ALLOW-FROM:origin为允许frame加载的页面地址 解决方...

2018-08-08 13:28:11 110 环境配置 X-Frame-Options, 框架

6 3