2023年11月28日发(作者:)

iisapachenginx使⽤X-Frame-Options防⽌⽹页被

Frame的解决⽅法

当然也是因为被360检测到了⽰"X-Frame-Options头未设置",根据360的提⽰与百度了⼀些⽹上的⼀些资料整理了下,完美

解决问题。

⾸先看下360给出的⽅案,但么有针对服务器的具体设置,不是每个⼈对服务器都很懂啊。

描述: ⽬标服务器没有返回⼀个X-Frame-Options头。

X-Frame-Options HTTP响应头是⽤来确认是否浏览器可以在frameiframe标签中渲染⼀个页⾯,⽹站可以⽤这个头来保证他

们的内容不会被嵌⼊到其它⽹站中,以来避免点击劫持。

危害: 攻击者可以使⽤⼀个透明的、不可见的iframe,覆盖在⽬标⽹页上,然后诱使⽤户在该⽹页上进⾏操作,此时⽤户将在

不知情的情况下点击透明的iframe页⾯。通过调整iframe页⾯的位置,可以诱使⽤户恰好点击iframe页⾯的⼀些功能性按钮

上,导致被劫持。

解决⽅案:

修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:

1DENY:不能被嵌⼊到任何iframeframe中。

2SAMEORIGIN:页⾯只能被本站页⾯嵌⼊到iframe或者frame中。

3ALLOW-FROM uri:只能被嵌⼊到指定域名的框架中。

也可在代码中加⼊,在PHP中加⼊:

header('X-Frame-Options: deny');

下⾯继续来看下从⽹上整理的更详细的⽅法

防⽌⽹页被Frame,⽅法有很多种;

⽅法⼀: 常见的⽐如使⽤js,判断顶层窗⼝跳转:

(function () {

if (window != ) {

e(on); //或者⼲别的事情

}

})();

⼀般这样够⽤了,但是有⼀次发现失效了,看了⼀下⼈家⽹站就是顶层窗⼝中的代码,发现这段代码:

var location = on;

// 或者 var location = "";

轻轻松松被破解了,悲剧。

⽅法⼆: meta 标签:基本没什么效果,所以也放弃了:

⽅法三:使⽤HTTP 响应头信息中的 X-Frame-Options属性

使⽤ X-Frame-Options 有三个可选的值:

DENY

:浏览器拒绝当前页⾯加载任何Frame页⾯

SAMEORIGIN

frame页⾯的地址只能为同源域名下的页⾯

ALLOW-FROM

origin为允许frame加载的页⾯地址

绝⼤部分浏览器⽀持:

FeatureChromeFirefox (Gecko)Internet ExplorerOperaSafari

8.010.54.0Basic support4.1.249.10423.6.9(1.9.2.9)

配置 IIS

IIS6中通过HTTP头设置即可

IIS7中可以通过也可以通过类似上⾯的设置

配置 IIS 发送 X-Frame-Options 响应头,添加下⾯的配置到 ⽂件中:

...

...

图⽂界⾯设置

配置 Apache

配置 Apache 在所有页⾯上发送 X-Frame-Options 响应头,需要把下⾯这⾏添加到 ‘site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置 nginx

配置 nginx 发送 X-Frame-Options 响应头,把下⾯这⾏添加到 ‘http', ‘server' 或者 ‘location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

HAProxy配置

rspadd X-Frame-Options: SAMEORIGIN

tomcat X-Frame-Options

公司项⽬是只⽤了tomcat作为web服务器 ,⽹上搜的的内容好像并不符合我的要求。

本来的想法是在每个jsp页⾯中加

<%

der("x-frame-options","SAMEORIGIN");

%>

可后来想想这种⽅法太蠢,万⼀过不了测试还要改过来。

于是⼜想到了⼀个⽅法,在项⽬原本的过滤器中加了如下代码

HttpServletResponse response = (HttpServletResponse) sResponse;

der("x-frame-options","SAMEORIGIN");

貌似起了作⽤ 等待客户测试吧!

具体可以查看:

结果

Firefox 尝试加载 frame 的内容时,如果 X-Frame-Options 响应头设置为禁⽌访问了,那么 Firefox 会⽤ about:blank 展现到

frame 中。也许从某种⽅⾯来讲的话,展⽰为错误消息会更好⼀点。

⽤虚拟主机的⽤户怎么办呢

PHPJSP等动态⽂件更⽅便

改⼀下头信息

PHP代码:

header(‘X-Frame-Options:SAMEORIGIN');

JSP代码:

der(“X-Frame-Options”,”SAMEORIGIN”);

ASP代码:

<%der "X-Frame-Options","SAMEORIGIN"%>

代码:

der("X-Frame-Options", "Deny");

还是那句话如果确认你整个⽹站都不能被框架,可以直接设置web服务器,增加X-Frame-Options响应头。IIS如下图所⽰,增

http头,参考上⾯的iis6iis7中的设置⽅法

浏览器对X-Frame-Options响应头的⽀持如下

浏览器版本⽀持

IE8.0+

Firefox3.6.9+

Opera10.50+

Safari4.0+

Chrome4.1.249.1024+