首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

从Chrome 90开始,无法修改X-Frame-Options的响应头

。X-Frame-Options是一个HTTP响应头,用于控制网页是否可以在<frame>、<iframe>或<object>元素中展示。它的主要作用是防止点击劫持攻击,即将恶意网页嵌入到合法网页中,以获取用户的敏感信息。

在Chrome 90之前,可以通过设置X-Frame-Options响应头来控制网页的展示行为。常见的取值有:

  1. DENY:拒绝在任何<frame>、<iframe>或<object>中展示。
  2. SAMEORIGIN:只允许在同源网页的<frame>、<iframe>或<object>中展示。
  3. ALLOW-FROM uri:只允许在指定的URI中展示。

然而,从Chrome 90开始,Chrome不再支持修改X-Frame-Options响应头。取而代之的是使用Content-Security-Policy(CSP)的frame-ancestors指令来控制网页的展示行为。

CSP是一种安全策略,用于定义哪些资源可以加载到网页中。通过在HTTP响应头中设置Content-Security-Policy或者X-Content-Security-Policy头,可以指定允许加载的资源来源、脚本执行限制、插件限制等。

要解决Chrome 90无法修改X-Frame-Options的问题,可以使用CSP的frame-ancestors指令。在CSP头中设置frame-ancestors指令的值,可以控制网页在哪些上下文中可以被嵌入。

例如,可以设置frame-ancestors的值为'none',表示不允许在任何上下文中嵌入网页;设置为'self',表示只允许在同源网页中嵌入;设置为'example.com',表示只允许在指定的域名中嵌入。

推荐的腾讯云相关产品是Web应用防火墙(WAF)。WAF可以通过配置安全策略,包括CSP,来保护网站免受各种Web攻击,包括点击劫持攻击。您可以通过以下链接了解更多关于腾讯云WAF的信息:https://cloud.tencent.com/product/waf

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

打破 iframe 安全限制 3 种方案

响应: Content-Security-Policy: frame-ancestors 'none'; X-Frame-Options: deny 因此无法通过iframe嵌入,那么,有办法打破这些限制吗...三.思路 既然主要限制来自 HTTP 响应,那么至少有两种思路: 篡改响应,使之满足iframe安全限制 不直接加载源内容,绕过iframe安全限制 在资源响应到达终点之前任意环节,拦截下来并改掉...CSP 与X-Frame-Options,比如在客户端收到响应时拦截篡改,或由代理服务转发篡改 而另一种思路很有意思,借助Chrome Headless加载源内容,转换为截图展示到iframe中。...event.respondWith(Promise.resolve(originalResponse)); }); 注意,Fetch Response 无法直接修改请求,需要手动拷贝克隆,见How...,在转发过程中修改响应甚至响应体 具体实现上,分为 2 步: 创建代理服务,篡改响应字段 客户端请求代理服务 以为 HTTPS 为例,代理服务简单实现如下: const https = require

28.5K63

Nginx配置各种响应防止XSS,点击劫持,frame恶意攻击

为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关响应,使用这些响应一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。...,遮挡网页原有位置含义; X-Frame-Options响应 X-Frame-Options HTTP 响应是微软提出来一个HTTP响应,主要用来给浏览器指示允许一个页面可否在 <frame...X-Frame-Options:SAMEORIGIN; X-Content-Type-Options响应 互联网上资源有各种类型,通常浏览器会根据响应Content-Type字段来分辨它们类型...下面我们主要介绍如何通过响应来使用 CSP,Chrome 扩展中 CSP 使用可以参考 Chrome 官方文档。...和 Firefox23 开始支持标准 Content-Security-Policy 如何使用 # 要使用 CSP,只需要服务端输出类似这样响应就行了: Content-Security-Policy

4.4K50
  • WEB安全防护相关响应(上)

    一、X-Frame-Options -- 打破框框 2008 年开始,研发人员发现一种利用视觉误导,引诱使用者行为可能,这种做法后来被命名为点击劫持 (Click Jacking) 。...所以 IE8 某个版本开始引入了 X-Content-Type-Options 这个新响应,如果这个响应值为 nosniff ,中文直译即「别嗅探」,就是告诉浏览器端,不要再主动猜测文档类型了...后来 Chrome 等浏览器也支持这个响应。...甚至像谷歌公司, 2018 年中推出 Chrome 68 版开始,就对所有 HTTP 访问提示安全警告了。以下引用自谷歌公司声明: 过去几年中,我们一直主张站点采用 HTTPS,以提升其安全性。...兼容性情况如下: [图3] 可以看到浏览器分电脑和手机版,电脑版里列出了哪个版本浏览器开始支持这个响应,而且几个不同选项值也略有差异。

    1.8K10

    HTTP_header安全选项(浅谈)

    HTTP响应是用来给浏览器 指示允许一个页面 可否在 或者中展现标记。...;设置SAMEORLGIN那么就可以在同域名页面中frame标签中嵌套并加载该页面 配置Web容器: 配置Apache,所有页面上发送X-Frame-Options响应,需要在site中配置如下...: Header always append X-Frame-Options SAMEORLGIN 配置Nginx,所有页面上发送X-Frame-Options响应,在http,server或者locationp...: X-Content-Type-Options HTTP响应首部相当于一个提示标志,服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 设定,而不能对其进行修改。...Internet Explorer,Chrome和Safari一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。

    72630

    使用HTTP Headers防御WEB攻击

    响应防御点击劫持 首先我们要讨论就是使用X-Frame-Options缓解点击劫持 通常,攻击者在漏洞页面嵌入iframe标签执行点击劫持攻击。...虽然有多钟方案来防御此问题,但是本文是讨论X-Frame-Options响应这种方案。 X-Frame-Options有以下3个值可以使用。...X-Frame-Options: DENY 让我们先从X-Frame-Options: DENY开始 打开home.php文件,添加下面这一行 header(“X-Frame-Options: DENY...如果你注意到,在响应信息中出现了一个X-Frame-Options 现在我们重新加载iframe,是得不到任何显示 ? 使用Chrome开发者模式,我们来看看背后隐藏秘密。 ?...这是因为服务器允许加载http://localhost 这个地址 现在我们修改HTTP,再加载 在home.php文件中添加 header(“X-Frame-Options: ALLOW-FROM http

    88330

    Web Security 之 Clickjacking

    而点击劫持无法则通过 CSRF token 缓解攻击,因为目标会话是在真实网站加载内容中建立,并且所有请求均在域内发生。...X-Frame-Options X-Frame-Options 最初由 IE8 作为非官方响应引入,随后也在其他浏览器中被迅速采用。...X-Frame-Options 为网站所有者提供了对 iframe 使用控制(就是说第三方网站不能随意使用 iframe 嵌入你控制网站),比如你可以使用 deny 直接拒绝所有 iframe...指定白名单: X-Frame-Options: allow-from https://normal-website.com X-Frame-Options 在不同浏览器中实现并不一致(比如,Chrome...CSP 通常是由 web 服务作为响应返回,格式为: Content-Security-Policy: policy 其中 policy 是一个由分号分隔策略指令字符串。

    1.6K10

    与http安全相关安全选项

    X-Frame-Options X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在 , 或者 中展现标记。...配置Apache 配置 Apache 在所有页面上发送 X-Frame-Options 响应,需要把下面这行添加到 'site' 配置中: Header always append X-Frame-Options...SAMEORIGIN 配置nginx 配置 nginx 发送 X-Frame-Options 响应,把下面这行添加到 'http', 'server' 或者 'location' 配置中: add_header...X-Frame-Options SAMEORIGIN; 配置IIS 配置 IIS 发送 X-Frame-Options 响应,添加下面的配置到 Web.config 文件中: <system.webServer...X-XSS-Protection X-XSS-Protection 响应是Internet Explorer,Chrome和Safari一个功能,当检测到跨站脚本攻击(XSS)时,浏览器将停止加载页面

    1.6K00

    避免页面被劫持新办法

    顺藤摸瓜,找到如下信息: X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在 , 或者 中展现标记。...换一句话说,如果设置为 DENY,不光在别人网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。...配置 Apache 配置 Apache 在所有页面上发送 X-Frame-Options 响应,需要把下面这行添加到 'site' 配置中: Header always append X-Frame-Options...SAMEORIGIN 配置 nginx 配置 nginx 发送 X-Frame-Options 响应,把下面这行添加到 'http', 'server' 或者 'location' 配置中: SAMEORIGIN... 结果Edit 在 Firefox 尝试加载 frame 内容时,如果 X-Frame-Options 响应设置为禁止访问了,那么 Firefox 会用 about

    1.1K30

    如何防止 WordPress 页面被 Frame 嵌入

    可以通过 X-Frame-Options HTTP 响应来设置是否允许网页被 、 或 标签引用,网站可以利用这个HTTP 响应确保网页内容不被嵌入到其他网站...X-Frame-Options 选项介绍 X-Frame-Options 有三个可选值: DENY:不允许其他网页嵌入本网页 SAMEORIGIN:只能是同源域名下网页 ALLOW-FROM uri:...一般情况下如果拒绝嵌入,浏览器会返回空白页面(如 Chrome/Firefox),不过也有的会显示错误信息。...如何设置 X-Frame-Options HTTP 响应 PHP header('X-Frame-Options:SAMEORIGIN'); Apache Header always append X-Frame-Options...在 WPJAM 菜单下「优化设置」中「功能增强」标签中,根据自己需求按照下图选项进行设置即可:

    77320

    反向代理攻击面 (下)

    说起IE,它还是一如既往奇特。如果主机头为本地地址,那么它不会对路径做任何处理。 滥用标修改功能 对于反向代理服务器来说,增添,删除和修改后端请求中是一项基本功能。...有些情况在,这比修改后端本身简单多。有时,反向代理会添加一些重要安全标。作为攻击者我们,想要利用这些规则来使反向代理服务器做出错误响应(通过滥用后端位置标),从而攻击其他用户。...Tomcat默认设置了X-Frame-Options: deny标,所以浏览器无法将其嵌入frame中。...在一种情况下(后端严格限制,完全不允许缓存),管理员没有修改后端,而是修改反向代理规则,修改严格Cache-control标从而开启了缓存响应。这时,管理员一般都会错误设置。...此类攻击依赖于在请求中找到未加密值(标),这将显著地影响(安全角度)接下来响应,但是在这里,这个响应必须由反向代理服务器缓存,同时Cache-Control标应当设置为允许。

    1.7K40

    django 1.8 官方文档翻译: 8-3 点击劫持保护

    如果响应包含值为SAMEORIGIN协议,浏览器会在frame中只加载同源请求资源。如果协议设置为DENY,浏览器会在加载frame时屏蔽所有资源,无论请求来自于哪个站点。...Django提供了一些简单方法来在你站点响应中包含这个协议: 一个简单中间件,在所有响应中设置协议。 一系列视图装饰器,可以用于覆盖中间件,或者只用于设置指定视图协议。...如何使用 为所有响应设置X-Frame-Options 要为你站点中所有的响应设置相同X-Frame-Options值,将'django.middleware.clickjacking.XFrameOptionsMiddleware...通常,这个中间件会为任何开放HttpResponse设置X-Frame-Options协议为SAMEORIGIN。...支持 X-Frame-Options 浏览器 Internet Explorer 8+ Firefox 3.6.9+ Opera 10.5+ Safari 4+ Chrome 4.1+ 另见 浏览器对

    49120

    怎么防止WordPress等网站被别人使用iframe框架恶意调用?

    这样使用是没有问题,但是当你使用WordPress后台自定义编辑时候,就会跳转,很烦人,你也可以做一下优化,判断是不是你域名,如果是就不使用 下面说一下通过修改 X-Frame-Options 响应方式...Allow-From [uri] 表示该页面可以在指定来源 frame 中展示 换一句话说,如果设置为 DENY,不光在别人网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。...> WordPress网站放到主题模板header.php文件中标签前 Apache服务器 配置 Apache 在所有页面上发送 X-Frame-Options 响应,需要把下面这行添加到 ‘site...响应,把下面这行添加到 ‘http’,’server’ 或者 ‘location’ 配置中: add_header X-Frame-Options SAMEORIGIN; 重启生效 IIS服务器...配置 IIS 发送 X-Frame-Options 响应,添加下面的配置到 Web.config 文件中: ...

    1.1K30

    X-Frame-Options等头部信息未配置解决方案

    X-Frame-Options 是为了减少点击劫持(Clickjacking)而引入一个响应,这个响应支持三种配置: DENY:不允许被任何页面嵌入,浏览器拒绝当前页面加载任何Frame页面...; SAMEORIGIN:不允许被本域以外页面嵌入,只能加载入同源域名下页面; ALLOW-FROM uri:不允许被指定域名以外页面嵌入,只能被嵌入到指定域名框架中(Chrome现阶段不支持...); X-XSS-Protection 这个响应是用来防范XSS,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。...X-Content-Type-Options 互联网上资源有各种类型,通常浏览器会根据响应Content-Type字段来分辨它们类型。...通过下面这个响应可以禁用浏览器类型猜测行为: 这个响应值只能是nosniff,可用于IE8+和Chrome

    3.6K20

    web前端安全机制问题全解析

    DNS服务器,通过某些手段取得某域名解析记录控制权,进而修改此域名解析结果,导致对该域名访问由原IP地址转入到修改指定IP,其结果就是对特定网址不能访问或访问是假网址,从而实现窃取资料或者破坏原有正常服务目的...此时A要跟B互通情报,此时需要借助C船运输,C是一个不可靠的人,如果A直接把情报送给B或把情报放在箱子里给B,都可能会被C偷走;如果A把情报锁在箱子里,B没有打开A锁钥匙无法获得情报内容。...通常浏览器可以通过嗅探内容本身方法来决定它是什么类型,而不是看响应content-type值。...IE8和firefox 18以后版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKit已经在研究这个了。...正确设置 X-Frame-Options: deny deny – 禁止所有的资源(本地或远程)试图通过frame来加载其他也支持X-Frame-Options 资源。

    77920

    web前端安全机制问题全解析

    服务器,通过某些手段取得某域名解析记录控制权,进而修改此域名解析结果,导致对该域名访问由原IP地址转入到修改指定IP,其结果就是对特定网址不能访问或访问是假网址,从而实现窃取资料或者破坏原有正常服务目的...通常浏览器可以通过嗅探内容本身方法来决定它是什么类型,而不是看响应content-type值。...IE8和firefox 18以后版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKit已经在研究这个了。...正确设置 X-Frame-Options: deny deny – 禁止所有的资源(本地或远程)试图通过frame来加载其他也支持X-Frame-Options 资源。...此外,pkp还提供了一个Public-Key-Pins-Report-Only 用来报告异常,但是不会强制阻塞证书信息。当然,这些chrome都是不支持

    1.6K00

    X-Frame-Options报头缺失

    点击挟持 点击劫持(用户界面纠正攻击、用户界面纠正攻击、用户界面纠正攻击)是一种恶意技术,它诱使Web用户点击与用户所点击内容不同内容,从而可能在点击看似无害网页时泄露机密信息或控制其计算机。...服务器没有返回x-frame-options,这意味着该网站可能面临点击劫持攻击风险。x-frame-options HTTP响应可用于指示是否允许浏览器呈现框架或iframe中页面。...网站可以通过确保其内容不嵌入其他网站来避免点击劫持攻击 修复方案如下: 修改web服务器配置,添加X-frame-options响应。...下面是两个测试: 百度响应包含X-Frame-Options,如下: 测试代码: 效果: 可以看到百度无法被嵌入到我们网站中,控制台有报错如下: 再换到CSDN测一下,截止到我测试时间,CSDN是没有设置这个头,测试代码如下

    2.6K20

    前后端分离项目,如何解决跨域问题

    admin/info接口OPTIONS请求无法通过认证,那是因为复杂跨越请求需要先进行一次OPTIONS请求进行预检,我们应用整合了SpringSecurity,对OPTIONS请求并没有放开登录认证...一次完整跨域请求 先发起一次OPTIONS请求进行预检 请求信息: Access-Control-Request-Headers: content-type Access-Control-Request-Method.../75.0.3770.142 Safari/537.36 响应信息: Access-Control-Allow-Credentials: true Access-Control-Allow-Headers...: DENY X-XSS-Protection: 1; mode=block 请求成功返回状态码为200 发起真实跨域请求 请求信息: Accept: application/json, text/...75.0.3770.142 Safari/537.36 {username: "admin", password: "123456"} password: "123456" username: "admin" 响应信息

    2.4K41
    领券