在Web开发中,防止网页被Frame劫持成为了必须的安全措施之一,其中一个重要的方式是使用HTTP响应头中的“X-Frame-Options”来限制哪些网站可以使用Frame加载该网页。
不同的Web服务器软件可能实现方式略有不同,以下分别介绍如何在IIS、Apache以及Nginx中使用X-Frame-Options来防止网页被Frame。
IIS中使用X-Frame-Options
步骤一:打开IIS管理器
在服务器上打开IIS管理器。
步骤二:选择网站
在左边的目录树中选择要添加X-Frame-Options的网站。
步骤三:打开HTTP响应头设置
在右侧菜单栏中找到HTTP响应头设置。
步骤四:添加X-Frame-Options
在HTTP响应头设置中,点击“添加”,在弹出的“添加自定义HTTP响应头”窗口中输入名称“X-Frame-Options”,值可以选择“SAMEORIGIN”、“DENY”、“ALLOW-FROM”三者之一。
其中:
* SAMEORIGIN 表示该页面只能在同源的Frame中加载(同一个域名下的页面)。
* DENY 表示该页面不能被任何Frame加载。
* ALLOW-FROM 表示该页面只能被某些指定域名下的Frame加载,需要在其后面再添加一个允许加载的域名(例如:ALLOW-FROM www.example.com)。
示例一:防止网页被Frame
在HTTP响应头设置中,添加名称为“X-Frame-Options”,值为“SAMEORIGIN”。
示例二:允许某些指定域名的Frame加载网页
在HTTP响应头设置中,添加名称为“X-Frame-Options”,值为“ALLOW-FROM www.example.com”。
Apache中使用X-Frame-Options
步骤一:打开Apache配置文件
在服务器上打开Apache配置文件(httpd.conf)。
步骤二:添加X-Frame-Options配置
在配置文件中添加以下语句:
Header always append X-Frame-Options SAMEORIGIN
其中:
* always 表示无论是否有响应体,都添加HTTP响应头。
* append 表示在原有的HTTP响应头之后添加。
* SAMEORIGIN 表示该页面只能在同源的Frame中加载(同一个域名下的页面)。
示例一:防止网页被Frame
在Apache配置文件中添加以下语句:
Header always append X-Frame-Options SAMEORIGIN
Nginx中使用X-Frame-Options
步骤一:打开nginx.conf配置文件
在服务器上打开nginx.conf配置文件。
步骤二:添加X-Frame-Options配置
在需要添加X-Frame-Options的server配置段中,添加以下语句:
add_header X-Frame-Options SAMEORIGIN;
其中:
* X-Frame-Options 表示要添加的HTTP响应头。
* SAMEORIGIN 表示该页面只能在同源的Frame中加载(同一个域名下的页面)。
示例一:防止网页被Frame
在需要添加X-Frame-Options的server配置段中,添加以下语句:
add_header X-Frame-Options SAMEORIGIN;
本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法 - Python技术站
微信扫一扫 
支付宝扫一扫 