X-Frame-Options 是一個HTTP響應頭,用於控制網頁是否可以嵌套在 <frame>, <iframe>, <embed> 或者 <applet> 中。通過設置 X-Frame-Options 頭部,網站管理員可以防止網頁被嵌套到其他網站的框架中,從而有效防範點擊劫持等安全風險。下麵是關 ...
X-Frame-Options
是一個HTTP響應頭,用於控制網頁是否可以嵌套在 <frame>
, <iframe>
, <embed>
或者 <applet>
中。通過設置 X-Frame-Options
頭部,網站管理員可以防止網頁被嵌套到其他網站的框架中,從而有效防範點擊劫持等安全風險。下麵是關於 X-Frame-Options
的介紹:
1. 作用:
X-Frame-Options
頭部用於指示瀏覽器是否允許當前頁面在<frame>
,<iframe>
,<embed>
或者<applet>
中顯示。- 可以防止點擊劫持攻擊,保護用戶數據和隱私。
2. 常見取值:
DENY
: 表示拒絕頁面在任何框架中顯示,即不允許嵌套。SAMEORIGIN
: 表示只允許頁面在相同功能變數名稱的框架中顯示,防止跨域嵌套。
3. 配置方式:
- 在HTTP響應頭中添加
X-Frame-Options
欄位,並指定為DENY
或SAMEORIGIN
,如X-Frame-Options: DENY
。 - 可以根據具體需求設置不同的取值來限制頁面的嵌套行為。
4. 優勢:
- 防止點擊劫持: 通過限制頁面的嵌套行為,有效防範點擊劫持等安全風險。
- 提高網站安全性: 增強網站的安全性,保護用戶數據和隱私信息不受攻擊。
5. 註意事項:
- 合理配置: 根據網站實際情況和安全需求,選擇合適的
X-Frame-Options
配置。 - 與其他安全頭部結合使用: 可以將
X-Frame-Options
與其他安全相關的 HTTP 頭部一起使用,共同加固網站的安全防護。
通過配置適當的 X-Frame-Options
頭部,可以有效地防止網頁被嵌套到其他網站的框架中,提升網站的安全性,保護用戶數據和隱私信息。
常用配置
- 只容許被baidu.com這個功能變數名稱嵌套iframe:ALLOW_FROM baidu.com,它包括了子功能變數名稱和不同埠等,例如a.baidu.com,b.baidu.com:8081等
- 只被同功能變數名稱網站嵌套:SAMEORIGIN (在a.hello.com中配置,那麼在b.hello.com中也無法嵌套它)
- 拒絕所有網站嵌套:DENY
- 不配置X-Frame-Options:表示開放所有,沒有保護
- 容許本功能變數名稱和baidu.com進行嵌套:SAMEORIGIN;ALLOW_FROM baidu.com
參考資料:http://tools.ietf.org/html/rfc7034
作者:倉儲大叔,張占嶺,
榮譽:微軟MVP
QQ:853066980
支付寶掃一掃,為大叔打賞!