点击劫持漏洞:使用X-Frame-Options 防止网页被Frame

最新推荐文章于 2025-06-24 00:20:18 发布
转载 最新推荐文章于 2025-06-24 00:20:18 发布 · 1.5w 阅读 · 3

本文介绍了如何使用X-Frame-Options来防止网页被恶意嵌套到其他站点的Frame中,提供了三种设置方法:meta标签、js判断及header控制,并详细解释了DENY、SAMEORIGIN与ALLOW-FROM三种值的区别与应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用X-Frame-Options防止网页被Frame

防止被 FRAME 加载你的网站页面

1. meta 标签:很多时候没有效果,无视

<meta http-equiv="Windows-Target" contect="_top">

2. js 判断顶层窗口跳转,可轻易破解,意义不大
 
function locationTop(){
    if (top.location != self.location) {
        top.location = self.location;
        return false;       
    }
    return true;
}
locationTop();

破解:
 
// 顶层窗口中放入代码
var location = document.location;
// 或者 var location = "";


3. header 控制,绝大部分浏览器支持

网站Sitemap的一些规则 

使用 X-Frame-Options 有三个可选的值:

DENY:浏览器拒绝当前页面加载任何Frame页面

SAMEORIGIN:frame页面的地址只能为同源域名下的页面

ALLOW-FROM:允许frame加载的页面地址

PHP代码:

header('X-Frame-Options:Deny');

header('X-Frame-Options:SAMEORIGIN);

Nginx配置:

add_header X-Frame-Options SAMEORIGIN

Apache配置:

Header always append X-Frame-Options SAMEORIGIN

具体参见:https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header



X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 4105
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
web漏洞-点击劫持:X-Frame-Options未设置-低危
Amdy_amdy的博客
07-26 3056
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一...
使用X-Frame-Options防止网页Frame
weixin_34128839的博客
04-17 408
转载自:http://code-tech.diandian.com/post/2013-10-07/40053975756防止FRAME 加载你的网站页面1. meta 标签:很多时候没有效果,无视<meta http-equiv="Windows-Target" contect="_top">2. js 判断顶层窗口跳转,可轻易破解,意义不大function...
点击劫持(Clickjacking)深度解析
最新发布
csdn_tom_168的博客
06-24 1020
点击劫持是一种通过透明iframe覆盖合法页面元素诱使用户误操作的安全威胁。攻击者利用CSS定位、会话保持和用户交互三要素实施攻击,常见变种包括触摸劫持和拖放劫持。防御体系包含帧爆破技术、X-Frame-Options头、CSP策略等核心方法,以及双重Cookie提交和交互验证等强化措施。漏洞检测可通过手动分析和自动化工具(如OWASP ZAP)完成。历史案例表明,金融机构和社交平台是主要攻击目标。企业防护需贯穿开发运营全周期,结合合规要求和AI检测等前沿技术。当前浏览器内置防护和严格的内容安全策略已显著降
nginx设置X-Frame-Options防止自己的网站被其他人iframe引入
wei042的博客
03-21 3424
nginx设置X-Frame-Options属性,防止网站被别人用iframe嵌入使用
JAVA年度安全 第五周 防止点击劫持”(ClickJacking)
New World
09-26 2601
JAVA年度安全 第五周 防止点击劫持”(ClickJacking) http://www.jtmelton.com/2012/02/03/year-of-security-for-java-week-5-clickjacking-prevention/ What is it and why do I care? 点击劫持是一种“web framing" 或者 "UI redres
iis、apache、nginx使用X-Frame-Options防止网页Frame的解决方法
09-30
总之,X-Frame-Options防止点击劫持的有效手段,它通过限制页面在iframe中的加载,保护了网站的安全性。对于不同的服务器环境,都有相应的配置方法来设置这一响应头,以确保内容不被非法嵌入。
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
X-Frame-Options
hjh_cos
10-30 8327
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<ifr
Web安全漏洞 之 X-Frame-Options响应头配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http的响应头信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应头有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
响应头缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 1万+
web安全响应头
maven的optional选项说明以及具体应用
wang0907的博客
11-15 1469
本文看下maven的optional选项的作用和用法。
使用HTTP 响应头信息中的 X-Frame-Options 属性防止网页Frame
既是过河之卒,惟有奋力向前。
05-11 2043
防止网页Frame,方法有很多种; 方法一:常见的比如使用js,判断顶层窗口跳转: js 代码: (function(){ if(window != window.top){ window.top.location.replace(window.location);//或者干别的事情 } })(); 一般这样够用了,但是有一次发现失效了,看了...
HTTP响应头之X-Frame-Options
richardman的专栏
06-13 2968
X-Frame-Options: DENY 由于在iframe.html中 <!DOCTYPE html> <html> <head> <title>iframe</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0">
iframe 无法嵌套 x-frame-options: SAMEORIGIN
Carry的博客
01-22 1042
解决Iframe嵌套问题:X-Frame-Options: SAMEORIGIN
X-Frame-Options to sameorgin
smile121621的博客
04-22 6143
简单来说就是当前域名不允许随便嵌套在别的域名下 X-Frame-Options 有三个值: 各自独立 DENY : 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.1.1.0/16; allow 2001:0db8::/32...
X-Frame-Options响应头配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应头配置详解
点击劫持防护:X-Frame-Options头部缺失解析
Options相关文件”和“点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'”,说明了一个常见的安全问题:某个网站或应用在设置X-Frame-Options响应头时发生了错误,导致无法...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值