点击劫持漏洞:使用X-Frame-Options 防止网页被Frame

  • A+
所属分类:WEB安全

使用X-Frame-Options防止网页被Frame

防止被 FRAME 加载你的网站页面

1. meta 标签:很多时候没有效果,无视

 view plain copy

  1. <meta http-equiv="Windows-Target" contect="_top">  

2. js 判断顶层窗口跳转,可轻易破解,意义不大

 view plain copy

  1. function locationTop(){  

  2.     if (top.location != self.location) {  

  3.         top.location = self.location;  

  4.         return false;         

  5.     }  

  6.     return true;  

  7. }  

  8. locationTop();  

破解:

 view plain copy

  1. // 顶层窗口中放入代码  

  2. var location = document.location;  

  3. // 或者 var location = "";  

3. header 控制,绝大部分浏览器支持
点击劫持漏洞:使用X-Frame-Options 防止网页被Frame

网站Sitemap的一些规则 

使用 X-Frame-Options 有三个可选的值:

DENY:浏览器拒绝当前页面加载任何Frame页面

SAMEORIGIN:frame页面的地址只能为同源域名下的页面

ALLOW-FROM:允许frame加载的页面地址

PHP代码:

header('X-Frame-Options:Deny');

header('X-Frame-Options:SAMEORIGIN);

Nginx配置:

add_header X-Frame-Options SAMEORIGIN

Apache配置:

Header always append X-Frame-Options SAMEORIGIN

具体参见:https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: