nginx配置X-Frame-Options响应头

2018年5月9日11:51:37 发表评论 852 阅读
摘要

X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

nginx配置X-Frame-Options响应头

X-Frame-Options

X-Frame-Options 有三个值:

  1. DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
  2. SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
  3. ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。

nginx配置X-Frame-Options头

配置文件一般在 nginx/conf/nginx.conf

add_header X-Frame-Options SAMEORIGIN  //加入到服务器配置文件的'http'或者'server'中

配置完成后重启服务器  service nginx restart

怎么确定自己已经开启了呢?

打开自己的网页,在开发者工具中查看是否有此信息,F12→Network→Doc,然后查看headers信息

如图:nginx配置X-Frame-Options响应头

扩展:

  1. 什么是clickjacking? 地址:https://cnodejs.org/topic/56e664efd62bdb576d051d1c
  2. X-Frame-Options响应头? 地址:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header

 

weinxin
来找我玩~
这是我的微信扫一扫~
舍得

发表评论

不高兴 彩虹 吃瓜 丢翔 乖 滑稽 花心 惊哭 惊讶 挤眼 酷 伤心 帅吗? 礼物 玫瑰 怒 生气 喷 睡觉 太开心 小九九 啊
太阳 吐舌 委屈 笑眼 星星月亮 心碎 咦 阴险 疑问 真棒 偷笑 斜眼笑 震惊 略 哈欠 无奈哭 抠鼻 哼 期待 懒得理你 爱心 蜡烛