文章目录 [+]
最近有人估计是爱上我了吧,频频给我的网站挂个后门啥的,两天一次,最近一天一次,mmp,然后就如下所示,宝宝也是醉了,我一个小站,怼我干嘛。
X-Frame-Options危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
然后360也给出了解决方案:
(一)服务器方面:
A.DENY:不能被嵌套到任何的iframe或frame中。(这个比较不友好,毕竟有时候我是会用的到的,而且这个服务器设置,全部都不能被引入到iframe中)。
1.Apache:配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site' 的配置中:
Header always append X-Frame-Options DENY
2.Nginx:配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http', ‘server' 或者 ‘location' 的配置中:
add_header X-Frame-Options DENY;
3.HAProxy:
rspadd X-Frame-Options:\ DENY
b.SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。(方法同上)
c.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。(方法同上)
(二)PHP脚本
header('X-Frame-Options: deny'); //同服务器,不能被嵌套到任何iframe或者frame header('X-Frame-Options: sameorigin'); // 同服务器,页面只能被本站页面嵌入到iframe或者frame中。 header('X-Frame-Options: allow-from https://www.lovyou.top'); //只能被嵌入到指定域名的框架中
然后下边给出大家各大浏览器对 X-Frame-Options的版本支持吧:
发表评论