语法 X-Frame-Options 有两个可能的值: X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN 指南 如果设置为 DENY,不光在别人的网站...另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。 DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。...SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。...请注意,在旧版 Firefox 上,它会遇到与 SAMEORIGIN 相同的问题——它不会检查 frame 所有的祖先页面来确定他们是否是同一来源。...或者,在较新的版本中: http-response set-header X-Frame-Options SAMEORIGIN 配置 Express 要配置 Express 以发送 X-Frame-Options
X-Frame-Options有三种可能的指示: X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM...SAMEORIGIN,只要包含在框架中的站点与为页面提供服务的站点相同,仍然可以在框架中使用该页面。 ALLOW-FROM页面只能显示在指定网址的框架中。...请注意,在旧版 Firefox 上,它会遇到与 SAMEORIGIN 相同的问题——它不会检查 frame 所有的祖先页面来确定他们是否是同一来源。...配置 配置 Apache 要配置 Apache X-Frame-Options为所有页面发送响应头,请将其添加到您网站的配置中: Header always set X-Frame-Options "SAMEORIGIN...在较新的版本中: http-response set-header X-Frame-Options SAMEORIGIN 配置 Express 要配置 Express 以发送 X-Frame-Options
X-Frame-Options 选项介绍 X-Frame-Options 有三个可选值: DENY:不允许其他网页嵌入本网页 SAMEORIGIN:只能是同源域名下的网页 ALLOW-FROM uri:...指定可以嵌入的地址 简单来说,设置了 DENY 则任何网页都不能嵌入(包括同一个网站的其他网页),设置了 SAMEORIGIN 则同域名的可以嵌入,指定某个地址可以嵌入使用 ALLOW-FROM uri...如何设置 X-Frame-Options HTTP 响应头 PHP header('X-Frame-Options:SAMEORIGIN'); Apache Header always append X-Frame-Options...SAMEORIGIN nginx add_header X-Frame-Options SAMEORIGIN; IIS … … </system.webServer
X-Frame-Options可以说是为了解决ClickJacking而生的,它有三个可选的值: DENY:浏览器会拒绝当前页面加载任何frame页面; SAMEORIGIN:frame页面的地址只能为同源域名下的页面...具体的设置方法: Apache配置: Header always append X-Frame-Options SAMEORIGIN nginx配置: add_header X-Frame-Options...SAMEORIGIN; IIS配置: ......
{ root /nfs; index index.html; } #登录-DEV环境 location /mobile-auth/ { add_header X-Frame-Options SAMEORIGIN...proxy_add_x_forwarded_for; } #客户管理-DEV环境 location /microservice-consumer/ { add_header X-Frame-Options SAMEORIGIN...proxy_add_x_forwarded_for; } #建议书DEV环境 location /microservice-propose/ { add_header X-Frame-Options SAMEORIGIN...proxy_add_x_forwarded_for; } #消息-DEV环境 location /microservice-active/ { add_header X-Frame-Options SAMEORIGIN...proxy_add_x_forwarded_for; } #统一接入前台-DEV环境 location /module-uap-core/ { add_header X-Frame-Options SAMEORIGIN
2、SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示。 3、ALLOW-FROM uri 表示该页面可以在指定来源的frame中展示。...另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套。正常情况下我们通常使用SAMEORIGIN参数。...Apache配置 需要把下面这行添加到 'site' 的配置中 Header always append X-Frame-Options SAMEORIGIN Nginx配置 需要添加到 ‘http’,...‘server’ 或者 ‘location’ 的配置项中,个人来讲喜欢配置在‘server’ 中 正常情况下都是使用SAMEORIGIN参数,允许同域嵌套 add_header X-Frame-Options...SAMEORIGIN; 允许单个域名iframe嵌套 add_header X-Frame-Options ALLOW-FROM http://whsir.com/; 允许多个域名iframe嵌套,注意这里是用逗号分隔
sameorigin 表示该页面可以在相同域名页面的 frame 中展示。 allow-from uri 表示该页面可以在指定来源的 frame 中展示。...另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套。正常情况下我们通常使用SAMEORIGIN参数。... </customHeaders...配置 HAProxy 配置 HAProxy 发送 X-Frame-Options 头,添加这些到你的前端、监听 listen,或者后端的配置里面: rspadd X-Frame-Options:\ sameorigin...或者,在更加新的版本中: http-response set-header X-Frame-Options sameorigin 配置 Express 要配置 Express 可以发送 X-Frame-Options
显然这是因为sameorigin导致的. X-FRAME-Options 写法 如果我要允许被嵌入, 就要更新 X-Frame-Options 的值....我们先看看此 Header 支持的写法. sameorigin 表示该页面可以在相同域名页面的 frame 中展示。...Django 默认是 SameOrigin. 如果其他项目需要嵌入页面, 必须在被嵌入的项目为每个 endpoint 增加 @xframe_options_exempt 装饰器....Raw X-Frame-Options: sameorigin; X-Frame-Options: ALLOW-FROM ; 浏览器对于多个值, 是直接不处理, 并直接拒绝通过此次同源策略的检查....当然 nginx 上也有其他方式, 去除 SameOrigin 这个值,或者直接更新这个 header. 但我准备采取 CSP, 并移除 X-Frame-Options。 使用 CSP.
to display 'https://www.cuiwenyuan.com/Logon.aspx' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN...SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。...另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。...配置 nginx 配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中: SAMEORIGIN 配置... </customHeaders
该头部有三个值 DENY – 始终不允许嵌入,即使是同一个域名 SAMEORIGIN – 只能在相同域名中嵌入 ALLOW-FROM uri – 设置允许的域 通常,可以在 HTTP 代理中进行配置,比如...nginx add_header X-Frame-Options SAMEORIGIN; Laravel 自带了用来「只允许同域名嵌入」的中间件,我们只需要在 /app/Http/Kernel.php...Closure $next) { $response = $next($request); $response- headers- set('X-Frame-Options', 'SAMEORIGIN
(2)SAMEORIGIN --- 表示该页面可以在相同域名页面的 frame 中展示。...add_header X-Frame-Options SAMEORIGIN; 1 add_header X-Frame-Options SAMEORIGIN;
下面说一下通过修改 X-Frame-Options 响应头的方式 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许 SAMEORIGIN...另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套 PHP版本 <?php header('X-Frame-Options:Deny'); ?...配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中: Header always append X-Frame-Options SAMEORIGIN...在 Apache 主机的 httpd.conf 文件中加上这句后重启生效 .htaccess 方法 Header append X-FRAME-OPTIONS "SAMEORIGIN" 在网站根目录下的... </customHeaders
然后在http配置代码块里某一行添加如下语句即可: add_header X-Frame-Options SAMEORIGIN; 如图所示: ?...X-Frame-Options跟在http配置里设置X-Frame-Options方法是一样的,同样是在server的配置代码块里添加如下语句即可: add_header X-Frame-Options SAMEORIGIN...SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。...另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。
或者你也可以配置下面: httpSecurity.headers().frameOptions().sameOrigin(); X-Frame-Options 有三个值: DENY 表示该页面不允许在...SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。...因为我们的控制台配置的是 localhost, 因此我们可以使用 sameOrigin(),因此产生的效果是一样。
X-Frame-Options有三个值,分别是:DENY、SAMEORIGIN、ALLOW-FROM DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。...SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM:表示该页面可以在指定来源的 frame 中展示。...另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。...配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中: Header always append X-Frame-Options SAMEORIGIN... </customHeaders
有两种办法: 在 Apache 主机的 httpd.conf 文件中需要把下面这行添加到’site’的配置中并重启生效即可: Header always append X-Frame-Options SAMEORIGIN...Header append X-FRAME-OPTIONS “SAMEORIGIN” nginx服务器 配置 Nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’,...’server’ 或者’location’的配置中并重启生效即可: add_header X-Frame-Options SAMEORIGIN; IIS服务器 配置 IIS 发送 X-Frame-Options...Web.config 文件中: … <add name=“X-Frame-Options” value=“SAMEORIGIN
如果响应包含值为SAMEORIGIN的协议头,浏览器会在frame中只加载同源请求的的资源。如果协议头设置为DENY,浏览器会在加载frame时屏蔽所有资源,无论请求来自于哪个站点。...通常,这个中间件会为任何开放的HttpResponse设置X-Frame-Options协议头为SAMEORIGIN。...django.views.decorators.clickjacking import xframe_options_deny from django.views.decorators.clickjacking import xframe_options_sameorigin...@xframe_options_sameorigin def view_two(request): return HttpResponse("Display in a frame if it's
SAMEORIGIN 表示该页面可以在相同域名页面的 iframe 中展示,例如网页为 abc.com/123.html,則 abc.com 底下的所有网页可以嵌入此网页,但是 abc.com 以外的网页不能嵌入...,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中: 表示该页面可以在相同域名页面的 frame 中展示 add_header X-Frame-Options SAMEORIGIN...表示该页面允许全部来源域名的 frame 展示 add_header X-Frame-Options ALLOWALL; 问题处理 Nginx 配置了 add_header X-Frame-Options SAMEORIGIN...proxy_hide_header X-Frame-Options; //忽略返回头的X-Frame-Options add_header X-Frame-Options SAMEORIGIN
X-Frame-Options 可选配置的值如下: X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN 如果设置为 DENY,表示该页面不允许在 frame...中展示,即便是在相同域名的页面中嵌套也不允许;另一方面,如果设置为 SAMEORIGIN,则表示该页面可以在相同域名页面的 frame 中嵌套。...0x04 漏洞修复 修改网站配置文件,推荐在所有传出请求上发送值为 SAMEORIGIN 的 X-Frame-Options 响应头。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 (3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。...一般我们选择使用 SAMEORIGIN : response.setHeader(“X-Frame-Options”, “SAMEORIGIN”);即可解决该安全问题。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
