X-FRAME-OPTIONS 出现两个或多个的原因

最新推荐文章于 2025-09-17 04:07:30 发布
原创 最新推荐文章于 2025-09-17 04:07:30 发布 · 6.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#X-FRAME-OPTIONS  #两个

博客讲述在配置文件配置X-Frame-Options为DENY后,页面出现两个该配置项的问题。经查找,是因页面的@Html.AntiForgeryToken()默认设置为SAMEORIGIN导致。给出解决方案,在Application_Start方法中设置AntiForgeryConfig.SuppressXFrameOptionsHeader为true,让配置文件中的配置生效。

在配置文件中配置了 

<httpProtocol>
     <customHeaders>
        <add name="X-Frame-Options" value="DENY" />
      </customHeaders>
    </httpProtocol>

但是发现页面中包含了两个X-FRAME-OPTIONS

è¿éåå¾çæè¿°

 

经查找发现是因为页面的@Html.AntiForgeryToken(),默认设置为 SAMEORIGIN。所以出现了两个。

解决方案:

protected void Application_Start()

{

AntiForgeryConfig.SuppressXFrameOptionsHeader = true;

}

这样就只有配置文件中的起作用了。

 

 

配置HTTP响应头提高Web安全
weixin_42991716的博客
06-02 1578
1 X-Frame-Options(点击劫持) 1.1 定义 **点击劫持(ClickJacking)**劫持的是用户的鼠标点击操作,劫持目标是含有重要会话交互的页面,如银行交易页面、后台管理页面等; 场景: 就比如通过修改偏移量,比如一个关闭按钮,有可能底下覆盖的是一个关注按钮 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器 响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 6万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
Tomcat中的HTTP响应头X-Frame-Options配置详解
最新发布
gitblog_00058的博客
09-17 1235
在Web安全领域,点击劫持(Clickjacking)是一种常见的攻击手段,攻击者通过将目标网站嵌入到恶意页面的iframe中,诱导用户在不知情的情况下点击被精心伪装的按钮链接。X-Frame-Options HTTP响应头正是为防御此类攻击而生,它允许网站管理员控制自己的内容是否可以被其他网站嵌入到iframe中。 **X-Frame-Options有三个可能的值**: - `DENY`:完...
解决设置X-Frame-Options后Response有多个
IBean的博客
10-16 1万+
解决设置X-Frame-Options后Response返回有多个
apache服务器配置响应头,Web安全 之 X-Frame-Options响应头配置
weixin_39629129的博客
08-13 3661
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...
安全头响应头(二)​X-Frame-Options
wzj_110的博客
07-06 5012
Sources源形式。
windows apache X-Frame-Options 含义
11-11
X-Frame-Options是一个HTTP响应头,用于控制网页是否可以在<frame>、中显示。它可以帮助网站防止点击劫持攻击,提高网站的安全性。在Windows系统的Apache服务器上设置X-Frame-Options需要两步工作,具体方法可以...
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
马小婧QAQ
09-02 2088
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持(ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。 而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉..
异常Multiple 'X-Frame-Options' headers with conflicting values ('SAMEORIGIN, DENY') encountered
weixin_34345560的博客
06-22 1615
为什么80%的码农都做不了架构师?>>> ...
apache iis 使用HTTP 响应头信息中的 X-Frame-Options属性
IT技术宅-北方的刀郎
08-29 2300
原文:https://www.jb51.net/article/109436.htm 方法三:使用HTTP 响应头信息中的 X-Frame-Options属性 使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址...
关于 tomcat 与X-Frame-Options
u013894638的博客
08-06 1万+
公司项目 漏洞修复 有一条 “点击劫持:X-Frame-Options未配置”,在网上查了很多资料 基本上都是下面的内容 使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面的地址只能为同源域名下的页面 ALLOW-FROM:origin为允许frame加载的页面地址
iframe页面嵌套问题提示X-Frame-Options问题
Less Is More
11-27 1万+
背景: 有一个页面需要被嵌入到另外一个系统中发现嵌入不进去 浏览器控制台提示报错: Refused to display 'http://10.45.80.3/portal/iframe.html' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 分析: 需要嵌入的页面加了跨域的限制 解决办法:...
http请求为什么会有两次(options请求)
程序员_阿杰的博客
02-01 2514
http请求前会有一次options请求,这有答案。
X-Frame-Options响应头配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应头配置详解
解决multiple ‘X-Frame-Optionsheaders with conflicting values (‘DENY, SAMEORIGIN‘)
celebrateyang的博客
07-07 5677
Refused to display ‘http://xxxxxxxxxxxxxxxx’ in a frame because it set multiple ‘X-Frame-Optionsheaders with conflicting values (‘DENY, SAMEORIGIN’). Falling back to ‘deny’. 给项目加了spring-security, 但是用jquery upload 文件, call back 函数出问题了,浏览器后台报出以上错误. 分析是spri
HTTP 响应头 X-Frame-Options
sayyy的专栏
10-14 5569
单点登录配置X-Frame-Options需要登两次
05-01
单点登录(Single Sign-On,简称SSO)是一种身份验证和授权机制,允许用户使用一组凭据(例如用户名和密码)登录到多个应用程序系统中。在配置单点登录时,可能会遇到需要登两次的情况。 这种情况通常是由于浏览器的安全策略导致的。X-Frame-Options是一个HTTP响应头,用于控制浏览器是否允许将网页嵌入到iframe中。当X-Frame-Options设置为SAMEORIGIN时,表示只允许同源网页嵌入到iframe中,而不允许跨域网页嵌入。 当使用单点登录时,通常会先跳转到认证服务器进行身份验证,然后再跳转回原始应用程序。在这个过程中,可能会涉及到多个域名跨域操作。如果原始应用程序的X-Frame-Options设置为SAMEORIGIN,那么在跳转回原始应用程序时,浏览器会拒绝将认证服务器的页面嵌入到iframe中,从而导致需要再次登录。 为了解决这个问题,可以将原始应用程序的X-Frame-Options设置为ALLOW-FROM <认证服务器域名>,表示允许指定的域名嵌入到iframe中。这样,在跳转回原始应用程序时,浏览器就会允许将认证服务器的页面嵌入到iframe中,避免了需要再次登录的情况。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值