在Web开发中,防止网页被Frame劫持成为了必须的安全措施之一,其中一个重要的方式是使用HTTP响应头中的“X-Frame-Options”来限制哪些网站可以使用Frame加载该网页。
不同的Web服务器软件可能实现方式略有不同,以下分别介绍如何在IIS、Apache以及Nginx中使用X-Frame-Options来防止网页被Frame。
在服务器上打开IIS管理器。
在左边的目录树中选择要添加X-Frame-Options的网站。
在右侧菜单栏中找到HTTP响应头设置。
在HTTP响应头设置中,点击“添加”,在弹出的“添加自定义HTTP响应头”窗口中输入名称“X-Frame-Options”,值可以选择“SAMEORIGIN”、“DENY”、“ALLOW-FROM”三者之一。
其中:
* SAMEORIGIN 表示该页面只能在同源的Frame中加载(同一个域名下的页面)。
* DENY 表示该页面不能被任何Frame加载。
* ALLOW-FROM 表示该页面只能被某些指定域名下的Frame加载,需要在其后面再添加一个允许加载的域名(例如:ALLOW-FROM www.example.com)。
在HTTP响应头设置中,添加名称为“X-Frame-Options”,值为“SAMEORIGIN”。
在HTTP响应头设置中,添加名称为“X-Frame-Options”,值为“ALLOW-FROM www.example.com”。
在服务器上打开Apache配置文件(httpd.conf)。
在配置文件中添加以下语句:
Header always append X-Frame-Options SAMEORIGIN
其中:
* always 表示无论是否有响应体,都添加HTTP响应头。
* append 表示在原有的HTTP响应头之后添加。
* SAMEORIGIN 表示该页面只能在同源的Frame中加载(同一个域名下的页面)。
在Apache配置文件中添加以下语句:
Header always append X-Frame-Options SAMEORIGIN
在服务器上打开nginx.conf配置文件。
在需要添加X-Frame-Options的server配置段中,添加以下语句:
add_header X-Frame-Options SAMEORIGIN;
其中:
* X-Frame-Options 表示要添加的HTTP响应头。
* SAMEORIGIN 表示该页面只能在同源的Frame中加载(同一个域名下的页面)。
在需要添加X-Frame-Options的server配置段中,添加以下语句:
add_header X-Frame-Options SAMEORIGIN;
本文链接:http://task.lmcjl.com/news/13299.html