banner
李大仁博客

李大仁博客

天地虽大,但有一念向善,心存良知,虽凡夫俗子,皆可为圣贤。

X-Frame-Options防止來自Frame的盜鏈或XSS攻擊

利用網頁內嵌 Frame 來盜鏈和流量導入比較常見,也可以用於 XSS 攻擊,如果中招的話,可以通過設置 X-Frame-Options 到 HTTP 響應頭來解決。解決方法只對支持 X-Frame-Options 的瀏覽器有效。

X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 ,

使用 HTTP 響應頭信息中的設置 X-Frame-Options 屬性

使用 X-Frame-Options 的屬性參數:

DENY:表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中嵌套也不允許。

SAMEORIGIN:表示該頁面可以在相同域名頁面的 frame 中展示。

ALLOW-FROM:表示該頁面可以在指定來源的 frame 中展示。

如果你自己不用 frame 也要防止別人用 frame 可以設置為 DENY,如果你自己用 frame 但要防止別人用 frame 可以設置為 SAMEORIGIN

在 Nginx 的配置中增加

add_header X-Frame-Options SAMEORIGIN;

在 Haproxy 的配置增加

rspadd X-Frame-Options:\ SAMEORIGIN

即可有效避免 Frame 的 XSS 攻擊。

原理參考: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。