nginx配置X-Frame-Options响应头

2018年5月9日11:51:37 发表评论 阅读(17,746)
本文最后更新于2019年4月6日,已超过一年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!
摘要

X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

nginx配置X-Frame-Options响应头

X-Frame-Options

X-Frame-Options 有三个值:

  1. DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
  2. SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
  3. ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。

nginx配置X-Frame-Options头

配置文件一般在 nginx/conf/nginx.conf

add_header X-Frame-Options SAMEORIGIN  //加入到服务器配置文件的'http'或者'server'中

配置完成后重启服务器  service nginx restart

怎么确定自己已经开启了呢?

打开自己的网页,在开发者工具中查看是否有此信息,F12→Network→Doc,然后查看headers信息

如图:nginx配置X-Frame-Options响应头

扩展:

  1. 什么是clickjacking?
  2. X-Frame-Options响应头?

 

weinxin
微信小程序
互联网开发,终身学习者,欢迎您的关注!
舍得

发表评论

不高兴 彩虹 吃瓜 丢翔 乖 滑稽 花心 惊哭 惊讶 挤眼 酷 伤心 帅吗? 礼物 玫瑰 怒 生气 喷 睡觉 太开心 小九九 啊
太阳 吐舌 委屈 笑眼 星星月亮 心碎 咦 阴险 疑问 真棒 偷笑 斜眼笑 震惊 略 哈欠 无奈哭 抠鼻 哼 期待 懒得理你 爱心 蜡烛