-
HTTP 响应头 X-Frame-Options
简介
X-Frame-Options HTTP 响应头用来给浏览器一个指示。该指示的作用为:是否允许页面在
,或者中展现。
网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。重点1:当访问网页浏览器支持 X-Frame-Options 时,有效。
重点2:Content-Security-Policy (CSP) HTTP 响应头有一个名为 frame-ancestors 的指令,有相同的作用。支持CSP frame-ancestors 指令的浏览器已经废弃了 X-Frame-Options 响应头。语法
X-Frame-Options: DENY- 1
或
X-Frame-Options: SAMEORIGIN- 1
检查 X-Frame-Options 是否已生效
以Google浏览器为例,打开网站按F12键,选择Network,找到对应的Headers,如下图所示
测试 X-Frame-Options 是否已生效
https://clickjacker.io/
Nginx 配置 X-Frame-Options
配置 Nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:
add_header X-Frame-Options SAMEORIGIN always;- 1
spring boot 配置 X-Frame-Options
启用 X-Frame-Options
支持SAMEORIGIN的设置方式:
@EnableWebSecurity @Configuration public class WebSecurityConfig extends DefaultWebSecurityConfigurer { @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http); http.headers().frameOptions().sameOrigin(); } }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
禁用 X-Frame-Options
@EnableWebSecurity @Configuration public class WebSecurityConfig extends DefaultWebSecurityConfigurer { @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http); http.headers().frameOptions().disable(); } }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
参考
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Frame-Options
https://blog.csdn.net/zzhongcy/article/details/124609116
https://blog.csdn.net/u014704612/article/details/115633050 -
相关阅读:
Django model 联合约束和联合索引
为什么 Spring和IDEA 都不推荐使用 @Autowired 注解
【无标题】
水库大坝安全监测预警系统的重要作用
背八股文的都是什么水平
vscode中git的使用,以及与webstorm中git的使用对比
【JAVA学习一:基础语法】
深度学习每周学习总结P5(运动鞋识别)
C++基础入门 C++初识
【JAVA-1】第一章 Java语言概述 5~11
- 原文地址:https://blog.csdn.net/sayyy/article/details/133822078