解决设置X-Frame-Options后Response有多个值

最新推荐文章于 2024-07-11 16:00:34 发布
原创 最新推荐文章于 2024-07-11 16:00:34 发布 · 1.3w 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文解决了一个在前后端分离项目中使用iframe嵌入swagger遇到的问题,即X-Frame-Options设置多个值导致的冲突。通过调整nginx配置,使用proxy_hide_header隐藏原有值,并设置add_header来指定单一的SAMEORIGIN值,最终解决了浏览器的安全策略警告。

解决设置X-Frame-Options后Response有多个值


起因:最近在做前后端分离的项目,项目中需要把swagger嵌套进来,用了iframe但是却提示

Refused to display 'http://xxxxxxxxxxxxx' in a frame because it set 'X-Frame-Options' to 'deny'.

首先当然是百度,结果是在nginx的http/server/location下设置add_header X-Frame-Options SAMEORIGIN always; 这个就可以解决问题(PS:我只在location下设置后才生效),当然遵从百度,nginx设置后重启,刷新页面此时报错

Refused to display 'http://xxxxxxxxxxxxxxxx' in a frame because it set multiple 'X-Frame-Options' headers with conflicting values ('DENY, SAMEORIGIN'). Falling back to 'deny'.

X-Frame-Options被设置了多个值,查看Response,发现果然返回了多个值,继续百度。。。。。ing
在这里插入图片描述
结果是百度根本没有这个解决的方案,清一色的统一回答,无奈谷歌全英搜索(搜出来的会是外国的帖子),几经寻找以后发现了一个帖子
帖子中给了一个参数proxy_hide_header X-Frame-Options; 隐藏这个header,重新修改nginx配置

location /xxx {
			proxy_hide_header X-Frame-Options;
			add_header X-Frame-Options SAMEORIGIN always;
			proxy_pass  http://xxxxxxxxxx/swagger-ui.html;
}

这个样子,然后重启,刷新页面,Response中只有SAMEORIGIN这个了,Deny被干掉。
ok问题解决。

IBeanCN
关注
Django设置X-Frame-Options为deny导致frame错误
WELL_CODER的博客
09-11 1234
如果你需要更多的灵活性,你可以编写自己的中间件来控制X-Frame-Options。创建一个新的Python文件,比如然后,在你的Django项目的设置文件中,将你的自定义中间件添加到MIDDLEWARE# ...# ...这将把X-Frame-Options更改为SAMEORIGIN,允许在同源网站的frame或iframe中显示内容。
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
使用富文本编辑器插件实现上传图片功能
weixin_43900374的博客
12-15 1882
1.安装 富文本编辑器地址这是文档地址,进去可以看到如下的页面 演示,下载,文档功能都有 进去下载 下载并解压完成后的目录 把这些文件都放在你需要使用的项目下面,asp,asp.net,jsp,php这些是服务端程序,因为你得结合自己的服务端,所以这些可以不要 可以在自己的项目下面新建一个目录 editor 比如我的方式 2.使用(你也可以看文档使用) 在需要使用的html页面添加如下代码 <head> <style> ...
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 6万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
解决multiple ‘X-Frame-Optionsheaders with conflicting values (‘DENY, SAMEORIGIN‘)
celebrateyang的博客
07-07 5686
Refused to display ‘http://xxxxxxxxxxxxxxxx’ in a frame because it set multiple ‘X-Frame-Optionsheaders with conflicting values (‘DENY, SAMEORIGIN’). Falling back to ‘deny’. 给项目加了spring-security, 但是用jquery upload 文件, call back 函数出问题了,浏览器后台报出以上错误. 分析是spri
低危漏洞修复——点击劫持X-Frame-Options响应头缺失
最新发布
后端开发
07-11 2794
X-Frame-Options响应头缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
【漏洞笔记】X-Frame-Options Header未配置
TeamsSix 的 优快云 空间
11-19 1155
0x00 概述 漏洞名称:X-Frame-Options Header未配置 风险等级:低危 问题类型:管理员设置问题 0x01 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <忽略frame>, <忽略iframe>, <忽略embed> 或者&nbs...
X-Frame-Options缺失导致点击劫持风险分析与防护
从标签列表可以看出,该知识点涉及多个技术层面:“X-Frame-Options”作为核心安全头,“点击劫持”是其所防范的主要威胁类型,“渗透报告”表明这是在安全审计过程中发现的问题,“安全防护”强调其作用定位,...
X-FRAME-OPTIONS 出现两个或多个的原因
Teemo_2016的博客
08-25 6192
在配置文件中配置了  &lt;httpProtocol&gt;      &lt;customHeaders&gt;         &lt;add name="X-Frame-Options" value="DENY" /&gt;       &lt;/customHeaders&gt;     &lt;/httpProtocol&gt; 但是发现页面中包含了两个X-FRAME-OP
Refused to display ‘http://xxxxxxxxxxxxx‘ in a frame because it set multiple ‘X-Frame-Options
由入门到精通
11-20 3734
嵌入frame时有兼容性问题,在最新版的Chrome和edge浏览器下空白,可以检查有js提示报错,报错信息如下: Refused to display 'http://xxxxxxxxxxxxx' in a frame because it set multiple 'X-Frame-Options' headers with conflicting values ('SAMEORIGIN, ALLOW-FROM http://XXXXXXXX'. Falling back to 'deny'. 可以
nginx设置X-Frame-Options
zhaofuqiangmycomm的博客
03-05 1万+
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。
异常Multiple 'X-Frame-Options' headers with conflicting values ('SAMEORIGIN, DENY') encountered
weixin_34345560的博客
06-22 1617
为什么80%的码农都做不了架构师?>>> ...
nginx在https环境下代理 WebSocket 遇到的问题
gplzx110的专栏
11-12 1820
前几天开始测试的时候出现了点问题,项目用到了 WebSocket 协议,访问直接抛 403,也是,如果是 nginx 处理 WebSocket 请求不做点特殊配置就直接返回 403,所以就添加了一下 nginx 代理 WebSocket 的配置。 nginx 代理 WebSocket 配置 在 nginx.conf 的 http 模块添加如下内容 map $http_upgrade $connection_upgrade{ default upgrade; ...
前端开发中嵌入网页报错:Refused to display ‘http://localhost:8080/‘ in a frame because it set ‘X-Frame-Options
半夏_2021的博客
04-29 1万+
X-Frame-Options主要用处是用于防止点击劫持,**点击劫持(ClickJacking)**是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面 的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。
Web安全漏洞 之 X-Frame-Options响应头配置
xp_lx12的博客
06-13 5万+
原理】配置http的响应头信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应头有三个可选的:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
360网站安全提示"X-Frame-Options头未设置"怎么解决
QC班长的博客
06-10 2万+
X-Frame-Options 响应头 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
【Nginx】增加X-Frame-Options配置防止页面被嵌套(点击劫持)
姜太小白的博客
05-11 4244
X-Frame-Options X-Frame-Options 有三个: DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。 nginx配置X-Frame-Options头 配置文件一般在nginx/conf/nginx.conf中 add_header X-Frame-Options SAMEO...
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值