Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >防止别人 iframe 自己的页面

防止别人 iframe 自己的页面

作者头像

Savalone

发布于 2020-02-11 06:18:44

发布于 2020-02-11 06:18:44

1.4K00

代码可运行

举报

文章被收录于专栏：Savalone's BlogSavalone's Blog

运行总次数：0

代码可运行

一、如果对方是静态调用 iframe，用 js 阻止即可，

<script>
if ( top !== self ) top.location.replace( self.location.href );
</script>

二、如果对方是动态调用的（类似于下方代码），又禁用了自己页面的 js 的话，

<script type="text/javascript" charset="utf-8">
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://www.mypage.com/this.html" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
</script>

可在 php 文件里加上 X-Frame-Options 响应头代码

header('X-Frame-Options:Deny');

X-Frame-Options 有三个值

分别是 “DENY”、“SAMEORIGIN”、“ALLOW-FROM http://domain.com/url.html”

DENY：表示该页面禁止 frame，即使是同域名的页面中嵌套也不允许。 SAMEORIGIN：表示该页面可以在同域名页面的 frame 中展示。 ALLOW-FROM url：表示该页面可以在指定来源的 frame 中展示。

三、踩坑！下面这种直接在 html 的 head 中加 meta 是没用的，切记。

<meta http-equiv="X-Frame-Options" content="deny">

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2019年10月24日，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

多租户的 4 种常用方案

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

60页PPT全解：DeepSeek系列论文技术要点整理

iframe页面嵌套提示X-Frame-Options问题

最近需要在大屏网页中嵌套跳转一些网站地址，使用 iframe 页面嵌套时会提示X-Frame-Options问题，具体报错如下：

Li_XiaoJin

2022/12/15

9K0

深入理解iframe

iframe 用于在页面内显示页面，使用 <iframe> 会创建包含另外一个文档的内联框架（即行内框架）

Leophen

2019/08/25

4.8K0

Nginx配置iframe访问

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌套到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。

华创信息技术

2020/05/25

8.1K0

Nginx配置iframe访问

怎么防止WordPress等网站被别人使用iframe框架恶意调用？

最近发现了一个网站竟然直接使用iframe引用了全站，包括腾讯云的全站，已经通知了腾讯云的运营，运营的答复是会通过司法途径尝试去解决。个人是不可能这么干了，太麻烦，但是我也联系了该网站所在的网安进行监督处理，不知道是什么结果，有结果了再说吧

沈唁

2018/08/21

1.2K0

怎么防止WordPress等网站被别人使用iframe框架恶意调用？

X-Frame-Options安全警告处理

html apache 网站 iis express

所述X-Frame-OptionsHTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>，<iframe>或<object>。通过确保其内容未嵌入其他网站，网站可以使用此功能来避免点击劫持攻击。

码客说

2022/09/23

3.5K0

X-Frame-Options安全警告处理

避免页面被劫持的新办法

apache iis nginx 网站

以前经常用前端的一段js代码，但防君子不防小人，别人还是可以通过禁用js，或动态修改js来引用。

崔文远TroyCui

2019/02/26

1.1K0

iframe跨域安全

nginx html 网站

响应头X-Frame-Options是用来给浏览器指示允许一个页面可否在<frame>，<iframe>，<object>中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌套到其他网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。

路过君

2020/08/28

5.9K0

Clickjacking简单介绍

今天没有原创文章发了，从乌云知识库里选了一个文章给大家分享一下，不知道这种方式，大家是否能够接我从乌云知识库里选择一些文章给大家分享，请大家给我提出来，我来根据大家的意见来做出变化，毕竟写原创不易，请大家谅解。欢迎大家给我留言，让我知道你们的想法。

信安之路

2018/08/08

1.1K0

Clickjacking简单介绍

漏洞笔记 | X-Frame-Options Header未配置

html apache 网站网络安全安全

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。

TeamsSix

2019/11/20

4.8K0

使用HTTP Headers防御WEB攻击

你可以在XAMPP、WAMP、LAMP、MAMP下设置PHP-MYSQL应用，当然这个选择完全取决于你的喜好。

黄啊码

2020/05/29

9400

打破 iframe 安全限制的 3 种方案

http https html 网络安全

关注「前端向后」微信公众号，你将收获一系列「用心原创」的高质量技术文章，主题包括但不限于前端、Node.js以及服务端技术

ayqy贾杰

2019/12/25

30.7K2

打破 iframe 安全限制的 3 种方案

BWAPP之旅_腾旅通app

php html http 网站 https

前期准备 BWAPP下载 BWAPP玩法参考这个下载文件 bWAPP直接下载安装包，解压后，到虚拟机里直接打开文件夹，就可以看到vmx文件，点开后，就打开啦，在物理机或者虚拟机里输入： http://[ip]/bWAPP/login.php ip从bee-box的终端里ifconfig得到

全栈程序员站长

2022/11/09

1.5K0

【Web前端】探索HTML中的“iframe”标签

iframe web 前端标签 html

现代网页开发中，<iframe> 标签是一个非常重要的工具。允许我们在一个网页中嵌入另一个网页，对于展示外部内容、应用嵌套或实现复杂的布局设计都非常有用。来一起探讨如何使用 iframe 标签，包括设置高度和宽度、移除边框，以及如何用 iframe 来显示目标链接页面。

一条晒干的咸鱼

2024/11/19

2.9K0

【Web前端】探索HTML中的“iframe”标签

如何防止网站套用iframe

相信很多小伙伴都遇到过这种情况。用iframe嵌套别人的网站，结果出现这个错误 nginx规则 add_header X-Frame-Options SAMEORIGIN; add_header X-Frame-Options ALLOW-FROM https://opencss.cn/; #允许单个域名 add_header X-Frame-Options "ALLOW-FROM http://lookcss.com/,https://opencss.cn/"; #允许多个域名 The X-Fr

田

2021/11/15

1.2K0

Geekpwn 2020云端挑战赛 Noxss & umsg

网站 https http 网络安全

前两天看了今年Geekpwn 2020 云端挑战赛，web题目涉及到了几个新时代前端特殊技巧，可能在实战中利用起来难度比较大，但是从原理上又很符合真实世界的逻辑，这里我们主要以解释题目为主，但是也探索一下在真实场景下的利用。

LoRexxar

2023/02/21

5650

Geekpwn 2020云端挑战赛 Noxss & umsg

NGINX增加X-Frame-Options配置，防止页面被嵌套

有时候站长不希望自己网页页面被其他站的FRAME嵌套进去，这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个：（1）DENY --- 表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。（2）SAMEORIGIN --- 表示该页面可以在相同域名页面的 frame 中展示。（3）ALLOW-FROM https://example.com/ --- 表示该页面可以在指定来源的 frame 中展示。下

用户2135432

2018/06/04

2.5K0

跟我一起探索HTTP-X-Frame-Options

http frame 浏览器配置域名

仅当访问文档的用户使用支持 X-Frame-Options 的浏览器时，此附加的安全性才会被提供。

用户1418987

2023/10/16

5760

跟我一起探索HTTP-X-Frame-Options

iframe关闭父页面(iframe嵌套https页面)

https java html 网络安全

width iframe的高度 height iframe的宽度 src iframe里面加载的页面url name 可以通过window.frames[name]获取到frame scrolling iframe里面的页面是否可以滚动 frameborder 是否显示iframe边框 1（显示）0（不显示） id 和其他的html标签id一样在主页面中通过iframe标签可以引入其他子页面

全栈程序员站长

2022/07/25

7.3K0

前端安全问题之点击劫持

缓存网络安全安全 html jquery

点击劫持也可以称 UI 覆盖攻击。是一种视觉上的欺骗手段，攻击者通过使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，通过调整iframe页面的位置，可以使得伪造的页面恰好和iframe里受害页面里一些功能重合（按钮），以达到窃取用户信息或者劫持用户操作的目的。如下示例（图片来自网络，如有侵权，请留言删除）：

前端知知

2022/09/29

1.2K0

防御点击劫持：X-Frame-Options头的重要性与实践

配置实践网站安全 frame

在网站的世界里，有一种神秘的攻击叫做点击劫持。这就好比你在点击一个看似无害的按钮时，却被引导到执行了一场不为人知的操作。在这篇文章中，我们将揭示缺少 X-Frame-Options 头可能带来的风险，以及如何通过这个小小的“头”来构筑起坚固的网页护盾。

一只牛博

2025/05/30

660

防御点击劫持：X-Frame-Options头的重要性与实践

相关推荐

iframe页面嵌套提示X-Frame-Options问题

更多 >

加入讨论

的问答专区 >

相关课程

一站式学习中心 >

云开发微搭低代码平台-一人构建企业级应用实战训练营

腾讯云微搭低代码

AI绘画-StableDiffusion图像生成

大模型图像创作引擎

高性能应用服务

本文部分代码块支持一键运行，欢迎体验

本文部分代码块支持一键运行，欢迎体验