不灭的焱

革命尚未成功,同志仍须努力

作者:php-note.com  发布于:2020-08-04 23:48  分类:编程基础/Web安全  编辑

有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息。

使用 X-Frame-Options 有三个可选的值:

  1. DENY:浏览器拒绝当前页面加载任何Frame页面
  2. SAMEORIGIN:frame页面的地址只能为同源域名下的页面
  3. ALLOW-FROM:origin为允许frame加载的页面地址

设置实例

方式一:配置Nginx:

配置 nginx 发送X-Frame-Options响应头,需要把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

方式二:服务端语言直接输出头信息

PHP代码:

header('X-Frame-Options:SAMEORIGIN');

JSP代码:

response.setHeader("X-Frame-Options","SAMEORIGIN");

 

 

参考:

https://www.jianshu.com/p/51cc683402f0

https://blog.csdn.net/qiuyu_15062/article/details/85100476