關於HTTP頭部資訊X-Frame-Options的問題-防止網站被人巢狀
阿新 • • 發佈:2019-02-06
有時候為了防止網頁被別人的網站iFrame,我們可以通過在伺服器設定HTTP頭部中的X-Frame-Options資訊
使用 X-Frame-Options 有三個可選的值:
DENY:瀏覽器拒絕當前頁面載入任何Frame頁面
SAMEORIGIN:frame頁面的地址只能為同源域名下的頁面
ALLOW-FROM:origin為允許frame載入的頁面地址
說到這裡肯定會問我設定方法,請往下看:
Apache配置
在你配置站點的地方新增一行:
Header always append X-Frame-Options SAMEORIGIN
nginx配置:
add_header X-Frame-Options SAMEORIGIN;
IIS配置:
<system.webServer> ... <httpProtocol><customHeaders><add name="X-Frame-Options" value="SAMEORIGIN" /></customHeaders></httpProtocol> ... </system.webServer>
HAProxy配置
rspadd X-Frame-Options:\ SAMEORIGIN