自己的网页被别人iframe里怎么办?

最新推荐文章于 2025-03-03 17:59:56 发布
最新推荐文章于 2025-03-03 17:59:56 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: Web安全 文章标签: X-Frame-Options 嵌套网页 禁止嵌套网页
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fd2025/article/details/124466725
版权

先介绍以下自己的网页被别人IFrame有什么危害?

可以使用Iframe进行点击劫持

iframe 标签:可以创建包含另外一个文档的内联框架

我们首先看到一个美女照片,可以点击按钮玩游戏
在这里插入图片描述
但是你没想到的是,按钮下面有其他的网页,只不过把网页改成透明

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8" />
    <title></title>
    <meta http-equiv="X-Frame-Options" content="SAMEORIGIN / DENY " />
    <style>
      html,
      body,
      iframe {
        display: block;
        height: 100%;
        width: 100%;
        margin: 0;
        padding: 0;
        border: none;
      }

      iframe {
        opacity: 0.3;
        overflow: hidden;
      }
    </style>
  </head>
  <body>
    <iframe src="https://www.17173.com/"></iframe>
    <div style="position: absolute; top: 0; left: 0; bottom: 0; right: 0">
      <div style="position: relative; width: 300px; height: 500px">
        <img src="aa.png" width="300px" height="500px" />
        <button
          style="
            position: absolute;
            bottom: 0;
            left: 50%;
            transform: translate(-50%);
            width: 80px;
            height: 40px;
          "
        >
          点击玩游戏
        </button>
      </div>
    </div>
  </body>
</html>

在这里插入图片描述
如果点击玩游戏按钮下有其他按钮,比如点击输入银行卡密码和卡号,那将会很危险。

所以怎样才能防止别人把我们的网页通过iframe嵌入到别人的网页中呢?

首先介绍一个HTTP 头字段属性 X-Frame-Options

X-Frame-Options 有三个可选的值

1.DENY: 浏览器拒绝当前页面加载任何Frame页面;
2.SAMEORIGIN: frame页面的地址只能为同源域名下的页面;
3.ALLOW-FROM : 允许 frame加载的页面地址

防止自己网页被别人iframe嵌套方法

1.PHP防止方法

header('X-Frame-Options:Deny')

2.Nginx

在server http 或者 location 
add_header X-Frame-Options SAMEORIGIN

也可以加载location 中

location  /{
  add_header X-Frame-Options SAMEORIGIN
}
也可以是以下配置: 
add_header X-Frame-Options ALLOW-FROM https://opencss.cn/;
#允许单个域名
add_header X-Frame-Options "ALLOW-FROM http://lookcss.com/,https://opencss.cn/";
#允许多个域名

以下是在nginx中配置了 add_header X-Frame-Options Deny 的效果
在这里插入图片描述
在这里插入图片描述
从上面可以看出,响应头中多了 X-Frame0Options属性

3.Apache

Header always append X-Frame-Options SAMEORIGIN
使用iframe网页中嵌入其他网页的方法
01-21
iframe使用方法: 复制代码代码如下:<DIV align=center><IFRAME src=”” frameBorder=0 marginwidth=0 marginheight=0 scrolling=no style=”width168:px;height:50px;” width=168 height=50 scrolling=no ...
禁止网站iframe嵌套的解决方法
不怕麻烦的鹿丸的博客
12-19 1万+
有时候我们开发的网站可能会被别人利用嵌入到其他网站中,也就是别人镜像我们的网站,造成点击劫持风险。
解决iframe嵌套第三方网址不能访问
热门推荐
Davi的博客
05-11 3万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
最新发布
ewii12567的博客
03-03 1109
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文章能帮你识别使用 iframe 的安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文章开头的本文永久链接。
同源策略及其绕过详解
yufumusui的博客
12-06 5946
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
X-Frame-Options ALLOW-FROM 无效
u013595395的博客
03-23 6769
原因:谷歌浏览器较新版不支持ALLOW-FROM 办法:用另一个响应头Content-Security-Policy代替,配置其中的frame-ancestors netCore写法(Startup.cs) (1)旧 app.Use(async (context, next) => { context.Response.Headers.Add("X-Frame-Options", "ALLOW-FROM http://localhost:8080 http://localhost
前端实现绕过源服务器限制嵌入iframe并解决图片防盗链
qq_44910894的博客
08-03 2183
在使用iframe时出现Refused to frame xxxxxxxx because an ancestor violates the following Contentt Security Policy directive: "frame-ancestors" self的解决方法和图片防盗链的绕过方法
js防止页面被iframe调用的方法
01-19
有时候我们发会现自己的网站页面被别人调用并且一模一样,这个其实就是简单的iframe调用了,下面我来给大家介绍js防止页面iframe调用的方法总结吧,有需要的朋友可参考 二、解决方法: 防止自己的网页被人框架: top...
iframe嵌入网页的一部分
05-27
iframe嵌入网页的一部分, 拿别人网页为你所用
如何用iframe套用对方网页数据而又保持兼容的实现方法
11-21
网页开发中,有时我们需要将外部网页的数据或内容嵌入到我们的页面中,这时`iframe`(Inline Frame)标签就显得非常有用。`iframe`允许我们在一个HTML文档中嵌入另一个HTML文档,从而实现页面的组合。在标题和描述...
JS修改iframe页面背景颜色的方法
12-03
网页开发中,有时我们需要对页面中的元素进行动态操作,比如改变其背景颜色。当涉及到嵌入的`iframe`(Inline Frame)时,由于...了解这些知识点,开发者可以更好地控制和自定义网页中的`iframe`元素,提升用户体验。
Iframe(Flex嵌入完整网页的类)
10-17
在Flex中嵌入完整的网页所用到的类, xmlns:flexiframe="com.google.code.flexiframe.*" <flexiframe:IFrame id="helpFrame" source="assets/dreamweaver/help/helpHome....
html中iframe控制父页面刷新实现思路及代码
09-28
通常,父页面不能直接控制iframe的内容,因为iframe的内容被视为不同的文档对象模型(DOM)。因此,要实现这一目的,需要通过一些巧妙的方法来操作iframe的src属性,从而达到刷新的效果。下面我们将详细阐述这一过程...
利用iframe技巧获取访问者qq实现思路及示例代码
09-28
然而,文章作者明确指出自己不会利用XSS,并提醒他人要负责任地使用技术。 总结来说,通过iframe标签读取用户cookie中的QQ信息是一种较为巧妙的技术手段,但需要谨慎使用,且应尊重和保护用户的隐私权益。在实际...
iframe跨域访问示例
04-28
在Web开发中,"iframe跨域访问"是一个重要的概念,涉及到浏览器的安全策略和网页的嵌入技术。本文将深入探讨这个主题,以便更好地理解和应用。 首先,我们需要了解什么是iframeIframe,全称Inline Frame,是HTML...
防止别人另存为我的网页、仿制我的站点小技巧
09-22
为了保护自己的知识产权,防止他人轻易地另存为网页或者仿制整个站点,前端开发者需要采取一些策略。下面将详细介绍一种防止网页被另存为和仿制的小技巧。 首先,我们需要了解的是,完全阻止用户保存网页或抓取网站...
打破iframe安全限制的3种方案
web修理工
12-28 1万+
转载:http://www.ayqy.net/blog/%E6%89%93%E7%A0%B4iframe%E5%AE%89%E5%85%A8%E9%99%90%E5%88%B6%E7%9A%843%E7%A7%8D%E6%96%B9%E6%A1%88/ 一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页
使用 <iframe /> 嵌套页面的一点总结
weixin_43714836的博客
11-22 1万+
iframe 标签嵌套页面,可能会遇到 x-frame-options 的值为 deny、sameorigin 情况,此时可能出现:xxx.xxx.xxx 拒绝了我们的连接请求。往往被嵌套页面的设置决定了是否能嵌套
防止网页被嵌入 iframe
weixin_64433668的博客
01-15 1180
iframe 标签能将一个指定的 url 地址的网址展示在页面上。但是它同时造成了一些问题。由于 iframe 标签引用的网站在用户看来就像是当前网站的内容,这就给了一些人可乘之机。在以前,使用 iframe 标签嵌入他人的网站,然后在页面上加入病毒、广告等内容影响用户,由于 iframe 标签展示的内容与原网站十分相似,会给原网站作者带来负面影响。
iframe拒绝嵌入网页
07-28
回答: 当一个网页设置了X-Frame-Options头部时,它可以控制是否允许其他网页将其嵌入到iframe中。X-Frame-Options有三个属性值:deny、sameorigin和allow-from uri。deny表示该页面不允许在frame中展示,即便是在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半夏_2021

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值