利用網頁內嵌 Frame 來盜鏈和流量導入比較常見,也可以用於 XSS 攻擊,如果中招的話,可以通過設置 X-Frame-Options 到 HTTP 響應頭來解決。解決方法只對支持 X-Frame-Options 的瀏覽器有效。
X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 ,
使用 HTTP 響應頭信息中的設置 X-Frame-Options 屬性
使用 X-Frame-Options 的屬性參數:
DENY:表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中嵌套也不允許。
SAMEORIGIN:表示該頁面可以在相同域名頁面的 frame 中展示。
ALLOW-FROM:表示該頁面可以在指定來源的 frame 中展示。
如果你自己不用 frame 也要防止別人用 frame 可以設置為 DENY,如果你自己用 frame 但要防止別人用 frame 可以設置為 SAMEORIGIN
在 Nginx 的配置中增加
add_header X-Frame-Options SAMEORIGIN;
在 Haproxy 的配置增加
rspadd X-Frame-Options:\ SAMEORIGIN
即可有效避免 Frame 的 XSS 攻擊。
原理參考: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options