X-Frame-Options防止网页放在iframe中

最新推荐文章于 2025-07-11 10:02:57 发布
最新推荐文章于 2025-07-11 10:02:57 发布
阅读量4.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: httpweb安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lu_tu_zhong/article/details/89341225
本文介绍如何使用X-Frame-Options防止网页在iframe中被加载,避免点击劫持攻击。提供了在web.xml和IIS的Web.config中设置X-Frame-Options的方法,包括DENY、SAMEORIGIN和ALLOW-FROM三种选项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用 X-Frame-Options 防止被iframe 造成跨域iframe 提交挂掉

 Refused to display 'http://www.***.com/login/doLogin.html' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. 

我们需要在web.xml中添加

X-Frame-Options 有三个值:

1、X-Frame-Options:DENY  

  表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

2、X-Frame-Options:SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

3:X-Frame-Options:ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。


<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
<async-supported>true</async-supported>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

修改对应的antiClickJackingOption即可

二、对应的IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

 

 

详细参考:https://www.jb51.net/article/109436.htm

 

Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 1039
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
X-Frame-Options头未设置 防止网页iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息,需要的朋友可以参考下
防止恶意 iframe 嵌套:使用 Nginx 设置 X-Frame-Options 与 Content-Security-Policy 安全策略
最新发布
孜然卷的博客
07-11 763
本文介绍了防范点击劫持攻击的两种Nginx配置方法:使用X-Frame-Options(已弃用但仍有兼容性价值)和更推荐的Content-Security-Policy的frame-ancestors指令。通过添加响应头限制iframe嵌套来源,配置示例展示了如何设置单一/多个允许域名,并建议用always参数确保所有响应都包含安全头。文章还提供了验证配置生效的方法和测试iframe嵌套的代码片段,对比了两种技术的优缺点,强调基础安全配置的重要性。
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面iframe页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
iframe X-Frame-Options
qq_30436011的博客
10-24 1402
下面介绍下X-Frame-Options主要用处是用于防止点击劫持,**点击劫持(ClickJacking)**是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。那么怎样自定义配置呢?
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
iis、apache、nginx使用X-Frame-Options防止网页Frame的解决方法
09-30
X-Frame-Options 是一种网络安全策略,它通过设置HTTP响应头来控制浏览器是否可以在iframeframe标签中展示页面内容。这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用透明iframe覆盖目标网页,诱使...
x-frame-options
xiaoyounihao的博客
03-29 784
https://newsn.net/say/x-frame-options-and-iframe.html
X-Frame-Options简介
顺其自然~专栏
09-13 5090
表示该页面可以在相同域名页面frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面frame中展示。,那么页面就可以在同域名页面frame 中嵌套。
x-frame-optionsiframeiframe的一些操作
weixin_30561177的博客
07-12 890
iframe的子操作父窗口,父操作子窗口: test.php: <!DOCTYPE html> <html> <head> <title>test</title> </head> <body> <input type="text" name="csrf" id="csrf...
X-Frame-Options 响应头-----iframe相遇
weixin_34195364的博客
05-22 520
2019独角兽企业重金招聘Python工程师标准>>> ...
VUE使用 iframe 嵌入网页浏览器报错 x-frame-options deny
热门推荐
Seven_Amber的博客
10-30 1万+
项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错 Refused to display ‘网址' in a frame because it set 'X-Frame-Options' to 'deny'.  原因是因为springBoot  springSecurty使用  X-Frame-Options防止网页Frame    解决办法把...
过滤器设置报头x-Frame-Options限制iframe网页嵌套
kang1011的博客
11-13 1082
过滤器设置报头x-Frame-Options限制iframe网页嵌套 目的设置X-Frame-Options SAMEORIGIN 1:web.xml增加过滤器 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
iframe 无法嵌套 x-frame-options: SAMEORIGIN
Carry的博客
01-22 1021
解决Iframe嵌套问题:X-Frame-Options: SAMEORIGIN
点击劫持防护:X-Frame-Options头部缺失解析
在讨论X-Frame-Options相关文件之前,首先需要了解X-Frame-Options的作用及其在Web安全中的重要性。X-Frame-Options是一个HTTP响应头,用于指示浏览器是否应该允许将页面包含在一个frameiframe中。它常用于防止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值