當然也是因為被360檢測到了示"X-Frame-Options頭未設置"�����,根據(jù)360的提示與百度了一些網(wǎng)上的一些資料整理了下�,完美解決問題�。
首先看下360給出的方案,但么有針對服務器的具體設置,不是每個人對服務器都很懂啊。
描述: 目標服務器沒有返回一個X-Frame-Options頭�����。
X-Frame-Options HTTP響應頭是用來確認是否瀏覽器可以在frame或iframe標簽中渲染一個頁面�,網(wǎng)站可以用這個頭來保證他們的內容不會被嵌入到其它網(wǎng)站中,以來避免點擊劫持。
危害: 攻擊者可以使用一個透明的��、不可見的iframe��,覆蓋在目標網(wǎng)頁上���,然后誘使用戶在該網(wǎng)頁上進行操作,此時用戶將在不知情的情況下點擊透明的iframe頁面���。通過調整iframe頁面的位置����,可以誘使用戶恰好點擊iframe頁面的一些功能性按鈕上����,導致被劫持。
解決方案:
修改web服務器配置,添加X-frame-options響應頭�。賦值有如下三種:
(1)DENY:不能被嵌入到任何iframe或frame中�。
(2)SAMEORIGIN:頁面只能被本站頁面嵌入到iframe或者frame中���。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中�。
也可在代碼中加入,在PHP中加入:
header('X-Frame-Options: deny');
下面繼續(xù)來看下VEVB武林網(wǎng)從網(wǎng)上整理的更詳細的方法
防止網(wǎng)頁被Frame,方法有很多種��;
方法一: 常見的比如使用js���,判斷頂層窗口跳轉:
(function () {if (window != window.top) {window.top.location.replace(window.location); //或者干別的事情}})(); 一般這樣夠用了�,但是有一次發(fā)現(xiàn)失效了,看了一下人家網(wǎng)站就是頂層窗口中的代碼,發(fā)現(xiàn)這段代碼:
var location = document.location;// 或者 var location = "";
輕輕松松被破解了�����,悲劇���。
方法二: meta 標簽:基本沒什么效果��,所以也放棄了:
<meta http-equiv="Windows-Target" contect="_top">
方法三:使用HTTP 響應頭信息中的 X-Frame-Options屬性
使用 X-Frame-Options 有三個可選的值:
DENY:瀏覽器拒絕當前頁面加載任何Frame頁面
SAMEORIGIN:frame頁面的地址只能為同源域名下的頁面
ALLOW-FROM:origin為允許frame加載的頁面地址
絕大部分瀏覽器支持:
| Feature | Chrome | Firefox (Gecko) | Internet Explorer | Opera | Safari |
| Basic support | 4.1.249.1042 | 3.6.9(1.9.2.9) | 8.0 | 10.5 | 4.0 |
配置 IIS
IIS6中通過HTTP頭設置即可
IIS7中可以通過web.config也可以通過類似上面的設置
配置 IIS 發(fā)送 X-Frame-Options 響應頭,添加下面的配置到 Web.config 文件中:
<system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> ...</system.webServer>
圖文界面設置
配置 Apache
配置 Apache 在所有頁面上發(fā)送 X-Frame-Options 響應頭�����,需要把下面這行添加到 ‘site' 的配置中:
Header always append X-Frame-Options SAMEORIGIN
配置 nginx
配置 nginx 發(fā)送 X-Frame-Options 響應頭,把下面這行添加到 ‘http', ‘server' 或者 ‘location' 的配置中:
add_header X-Frame-Options SAMEORIGIN;
HAProxy配置
rspadd X-Frame-Options:/ SAMEORIGIN
tomcat 與X-Frame-Options
公司項目是只用了tomcat作為web服務器 ,網(wǎng)上搜的的內容好像并不符合我的要求�����。
本來的想法是在每個jsp頁面中加
<% response.addHeader("x-frame-options","SAMEORIGIN"); %> 可后來想想這種方法太蠢���,萬一過不了測試還要改過來�����。
于是又想到了一個方法���,在項目原本的過濾器中加了如下代碼
HttpServletResponse response = (HttpServletResponse) sResponse;response.addHeader("x-frame-options","SAMEORIGIN"); 貌似起了作用 等待客戶測試吧���!
具體可以查看:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header
結果
在 Firefox 嘗試加載 frame 的內容時��,如果 X-Frame-Options 響應頭設置為禁止訪問了,那么 Firefox 會用 about:blank 展現(xiàn)到 frame 中����。也許從某種方面來講的話�����,展示為錯誤消息會更好一點�。
用虛擬主機的用戶怎么辦呢
PHP和JSP等動態(tài)文件更方便
改一下頭信息
PHP代碼:
header(‘X-Frame-Options:SAMEORIGIN');
JSP代碼:
response.setHeader(“X-Frame-Options”,”SAMEORIGIN”);
ASP代碼:
<%Response.AddHeader "X-Frame-Options","SAMEORIGIN"%>
ASP.NET代碼:
Response.AddHeader("X-Frame-Options", "Deny");
還是那句話如果確認你整個網(wǎng)站都不能被框架,可以直接設置web服務器����,增加X-Frame-Options響應頭����。IIS如下圖所示,增加http頭����,參考上面的iis6與iis7中的設置方法
瀏覽器對X-Frame-Options響應頭的支持如下
| 瀏覽器 | 版本支持 |
| IE | 8.0+ |
| Firefox | 3.6.9+ |
| Opera | 10.50+ |
| Safari | 4.0+ |
| Chrome | 4.1.249.1024+ |
