点击劫持漏洞:使用X-Frame-Options 防止网页被Frame

使用X-Frame-Options防止网页被Frame

防止被 FRAME 加载你的网站页面

1. meta 标签:很多时候没有效果,无视

[html] view plain copy
 在CODE上查看代码片派生到我的代码片
  1. <meta http-equiv="Windows-Target" contect="_top">  

2. js 判断顶层窗口跳转,可轻易破解,意义不大
[javascript] view plain copy
 在CODE上查看代码片派生到我的代码片
  1. function locationTop(){  
  2.     if (top.location != self.location) {  
  3.         top.location = self.location;  
  4.         return false;         
  5.     }  
  6.     return true;  
  7. }  
  8. locationTop();  

破解:
[javascript] view plain copy
 在CODE上查看代码片派生到我的代码片
  1. // 顶层窗口中放入代码  
  2. var location = document.location;  
  3. // 或者 var location = "";  


3. header 控制,绝大部分浏览器支持


网站Sitemap的一些规则 

使用 X-Frame-Options 有三个可选的值:

DENY:浏览器拒绝当前页面加载任何Frame页面

SAMEORIGIN:frame页面的地址只能为同源域名下的页面

ALLOW-FROM:允许frame加载的页面地址

PHP代码:

header('X-Frame-Options:Deny');

header('X-Frame-Options:SAMEORIGIN);

Nginx配置:

add_header X-Frame-Options SAMEORIGIN

Apache配置:

Header always append X-Frame-Options SAMEORIGIN

具体参见:https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header

发布了430 篇原创文章 · 获赞 415 · 访问量 925万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 编程工作室 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览