防止恶意 iframe 嵌套:使用 Nginx 设置 X-Frame-Options 与 Content-Security-Policy 安全策略

原创 已于 2025-07-11 10:04:37 修改 · 690 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维 #前端

于 2025-07-11 10:02:57 首次发布

🧾 引言

在 Web 开发中,我们常常会遇到一种安全风险 —— 点击劫持(Clickjacking)。攻击者可以通过 <iframe> 将你的页面嵌入到自己的页面中,诱导用户进行非预期的操作(如点击按钮、提交表单等),从而造成信息泄露或经济损失。

为了防止这种行为,我们可以利用浏览器的安全响应头来限制哪些网站可以将我们的页面嵌入到 <iframe> 中。本文将介绍如何通过 Nginx 配置实现这一功能。

🔒 安全机制介绍

1. X-Frame-Options

这是一个早期用于控制页面是否可以被嵌套在 <iframe> 中的 HTTP 响应头。它支持三种取值:

  • DENY:不允许任何网站嵌套
  • SAMEORIGIN:只允许同源网站嵌套
  • ALLOW-FROM uri:允许指定来源嵌套(已弃用)

虽然 ALLOW-FROM 已被现代标准弃用,但在某些旧浏览器中仍有效果。

Nginx

add_header X-Frame-Options "ALLOW-FROM http://192.168.1.251:7000/" always;

✅ 此配置表示:只允许来自 http://192.168.1.251:7000 的页面嵌套当前页面。

2. Content-Security-Policy (CSP)

这是更强大和推荐的安全策略机制,其中 frame-ancestors 指令专门用于控制哪些来源可以将当前页面嵌入到 <iframe> 中。

Nginx

add_header Content-Security-Policy "frame-ancestors http://192.168.1.251:7000/" always;

✅ 此配置表示:只允许 http://192.168.1.251:7000 这个来源嵌套当前页面。

你还可以设置多个来源,例如:

Nginx

add_header Content-Security-Policy "frame-ancestors 'self' http://192.168.1.251:7000 http://localhost:3000" always;

🛠️ 配置示例(Nginx)

下面是一个完整的 Nginx 配置片段,用于添加上述两个安全响应头:

Nginx

server {
    listen 80;
    server_name yourdomain.com;

    location / {
        # 其他代理或静态资源配置...

        # 添加安全响应头
        add_header X-Frame-Options "ALLOW-FROM http://192.168.1.251:7000/" always;
        add_header Content-Security-Policy "frame-ancestors http://192.168.1.251:7000/" always;
    }
}

⚠️ 注意:

  • 确保你在 location 或 server 块中正确添加这些配置。
  • 使用 always 参数确保即使返回错误状态码(如 404、500)时也发送这些头信息。

🔍 如何验证配置是否生效?

你可以通过以下方式验证这些安全头是否生效:

  1. 打开浏览器开发者工具(F12)。
  2. 切换到 Network 标签。
  3. 选择任意请求,在右侧查看 Response Headers
  4. 查看是否有如下字段:
X-Frame-Options: ALLOW-FROM http://192.168.1.251:7000/
Content-Security-Policy: frame-ancestors http://192.168.1.251:7000/

如果看到以上内容,则说明配置已经成功应用。

🧪 测试是否能被 iframe 嵌套

你可以写一个简单的 HTML 页面测试:

Html

<!-- 在 http://localhost:3000 页面中 -->
<iframe src="http://your-server-ip-or-domain"></iframe>

如果目标服务器没有允许 localhost:3000 嵌套,则浏览器会阻止加载,并在控制台输出类似警告信息。

🛠️ 建议优化写法(可选)

如果你还想允许多个来源,可以这样写:

Nginx

add_header Content-Security-Policy "frame-ancestors 'self' http://192.168.1.251:7000 http://localhost:3000;" always;

这表示允许

🧠 总结

技术是否推荐功能
X-Frame-Options❌ 已弃用,兼容性考虑控制 iframe 嵌套
Content-Security-Policy✅ 强烈推荐更灵活、更安全地控制 iframe 嵌套

    💬 结语

    通过合理配置 X-Frame-OptionsContent-Security-Policy,我们可以有效防止他人恶意嵌套我们的网页内容,从而保护用户隐私和数据安全。建议所有 Web 项目都重视这类基础安全措施,避免因小失大。

    孜然卷k
    关注
    nginx增加X-Frame-Options配置,防止页面被嵌套
    yuanwai
    05-31 7559
    有时候站长不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN — 表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https://example.com/ — 表示该页面可以在指定来源的 frame 中展示。 下面是重点: NGINX
    Nginx配置Http响应头安全策略_nginx content-security-policy
    m0_60707660的博客
    04-06 1368
    外链图片转存中…(img-k8i9jTyB-1712340605442)]
    禁止iframe技术:X-Frame-Options frame-ancestors
    sh2018的博客
    10-24 1万+
    X-Frame-Options DENY:禁止iframe SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护 ALLOW-FROM: https://example.com:白名单限制 但这个缺陷就是chrome、Safari是不支持ALLOW-FROM语法! php代码如下: header("X-Frame-Options: allow-from http://...
    防止网站被iframe嵌套
    最新发布
    weixin_50666739的博客
    06-23 169
    摘要:防止网页被嵌入iframe的4种方法:1)通过服务器配置X-Frame-Options响应头(DENY或SAMEORIGIN);2)使用Content-Security-Policy头的frame-ancestors指令;3)JavaScript检测并重定向(top.location!==self.location);4)HTMLmeta标签设置(兼容性有限)。适用于Nginx/Apache服务器配置和前端实现。
    nginx设置X-Frame-Options
    weixin_46742102的博客
    08-23 3422
    打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。重新加载:nginx -s reload。
    X-Frame-Options配置
    热门推荐
    -JackoChan
    08-23 2万+
    因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
    nginx 配置 X-Frame-Options
    thlzjfefe的博客
    03-22 1万+
    假如在域名b.com下,有一个html页面test.html,访问路径为:http://b.com/test.html;如果要防止别人在iframe下访问该页面,则可以通过nginx配置实现。 举例如下: 现有页面a.html,http://a.com/a.html,该页面有一个iframe,src=http://b.com/test.html <!DOCTYPE html> ...
    X-Frame-Options简介
    顺其自然~专栏
    09-13 5074
    表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame嵌套
    nginx设置X-Frame-Options防止自己的网站被其他人iframe引入
    wei042的博客
    03-21 3399
    nginx设置X-Frame-Options属性,防止网站被别人用iframe嵌入使用
    Nginx配置Http响应头安全策略
    RisunJan的博客
    10-22 1万+
    1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`服务器通信,从而防止信息在传输过
    iframe X-Frame-Options
    qq_30436011的博客
    10-24 1397
    下面介绍下X-Frame-Options主要用处是用于防止点击劫持,**点击劫持(ClickJacking)**是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。那么怎样自定义配置呢?
    Spring Security源码分析九:Spring Security Session管理
    Karka_的博客
    05-23 1035
    Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
    X-Frame-Optionsnginx配置
    Beth__hui的博客
    10-22 4320
    X-Frame-Options头主要是为了防止站点被别人劫持、iframe引入 nginx配置形式: add_header X-Frame-Options ALLOWALL; #允许所有域名iframe add_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名 add_header X-Frame-Options SANEORIGIN; #允许相同域名iframe,如a.test.com允许b.test.com add_header X-Frame-Op
    点击劫持:X-Frame-Options未配置、nginx配置X-Frame-Options响应头
    HCIE 数通、RHCE、HCIP 欧拉、MySQL OCP 持证工程师。
    04-26 3730
    add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
    iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
    AIWWY的博客
    11-10 1万+
    如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
    通过 Nginx 绕过 X-Frame-Options 限制
    07-23
    X-Frame-Options 是一种HTTP头部字段,用于防止网页内容在iframe等跨域嵌入场景下被恶意篡改或滥用。当设置了这个头,浏览器通常会阻止页面被加载到其他网站的框架中,以保护用户的隐私和安全。 如果你需要通过 Nginx 服务器绕过 X-Frame-Options 的限制,可以修改 Nginx 配置文件(通常位于 /etc/nginx/nginx.conf 或虚拟主机配置如 sites-available/your_domain.conf)。在 server 或 location 指令下面添加以下配置: ```nginx add_header 'Content-Security-Policy' "frame-ancestors 'self';"; # 允许同源嵌套 add_header 'X-Frame-Options' 'SAMEORIGIN'; # 这里改为 'ALLOW-FROM *'; 或者注释掉,完全开放 ``` 将 `frame-ancestors 'self';` 设置为 `'ALLOW-FROM *';` 可以允许所有来源的页面嵌入,但这不是一个推荐的做法,因为它可能会增加被攻击的风险。 请注意,调整这样的设置需谨慎,因为这可能会削弱网站的安全性。如果只是为了特定应用场景(例如内部测试环境),可以在部署前临时开启,但在生产环境中应保持默认的限制,除非有充分的理由信任源站。
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值