主页 > 开发资讯 > 网络推广 >

网站安全X-Frame-Options 响应头设置

时间:2018-09-29 来源:互联网 浏览次数:

用360的网站安全检测工具,查出网站提示响应头的问题,特地记下来以备遇到的新手学习。


修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

防止某些重要网页被其他网站框架导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来,IE下的效果如下(此内容无法再框架中显示。为了帮助保护在此网站中输入的信息安全,此内容的发行者不允许在框架中显示该信息),其他非IE核心浏览器会显示空白内容。

动态页添加X-Frame-Options响应头代码在此详细附上设置过程

1>开启Apache的扩展headers_module,
2>在Apache配置文件的空白行加上一下代码:
Header always append X-Frame-Options SAMEORIGIN
完成以上部分,重启Apache服务即可审查页面出现如下代码表示设置成功