HTTP响应头之X-Frame-Options

最新推荐文章于 2023-10-14 10:53:58 发布
最新推荐文章于 2023-10-14 10:53:58 发布
阅读量2.9k 收藏
点赞数
分类专栏: # http协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/richardman/article/details/106733357
版权

X-Frame-Options: DENY

由于在iframe.html中

<!DOCTYPE html>
<html>
    <head>
        <title>iframe</title>
        <meta charset="UTF-8">
        <meta name="viewport" content="width=device-width, initial-scale=1.0">
    </head>
    <body>
        <iframe src="http://192.168.170.164/home.php"></iframe>
    </body>
</html>

 

会加载home.php。于是当用户从index.php登录成功之后跳转到home.php之后,会显示登录成功的状态。这样就造成了CSRF漏洞。可能引起点击劫持攻击。
于是在home.php中加上一句。
即成为

<?php
session_start();
session_regenerate_id();

header("X-Frame-Options: DENY");

 

这样即便用户在原来的home.php中不退出,而另开一个iframe.html页面的时候,也会因为这句话生效,而加载不出来home.php了。
当用户从网页中退出互殴重新观察HTTP头信息得到如下头信息。
即,多了一个

X-Frame-Options: DENY

而重新加载iframe.html也将得不到任何显示的。

X-Frame-Options: sameorigin

然而存在需要使用iframe的情景。在此种情景下,可以使用sameorigin这个值。将之前的DENY换成sameorigin(大小写不敏感)。则可以成功加载。这种情况对同源(origin)是可以加载的。而对不同源则不能加载(具体不能加载的情况可以查看console)。

X-XSS-Protection

尝试在页面的搜索框插入js脚本。
http://192.168.170.164/home.php?search=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&Search=Search
在Chrome上被拦截

而在Firefox上成功执行。
这是由于没有显式指定X-XSS-Protection头造成的不同浏览器的不同处理。

为了指定清楚,则在之前插入的相同的位置加入这样一句

header("X-XSS-Protection: 0"); //禁用XSS保护

 

即可禁用XSS保护,使得js代码得以执行。
或者

header("X-XSS-Protection: 1"); //开启XSS保护

 

即可开启XSS保护,禁止js代码执行,防止XSS。
————————————————
 

http响应头中X-Frame-Options的作用及危害
墨痕诉清风的博客
03-14 2627
目标服务器没有返回一个X-Frame-Options头。 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 添加X-frame-options响应头。 赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到iframe
Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 1016
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
关于nginx的HTTP Response响应头字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 2065
关于nginx的HTTP Response响应头字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应头字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个头字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
HTTP 响应头 X-Frame-Options
sayyy的专栏
10-14 5285
HTTP 配置响应头部 X-Frame-Options
qq_36856047的博客
09-09 4987
目标服务器没有返回一个X-Frame-Options头。 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 添加X-frame-options响应头。 赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到ifram
X-Frame-Options配置
-JackoChan
08-23 2万+
因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
X-Frame-Options响应头防点击劫持
道阻且长,行则将至
02-21 8348
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
**X-Frame-Options HTTP响应头详解** X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络...
忽略X-Frame-Options「ignore X-Frame-Options-crx插件
03-15
解决谷歌等页面无法在iframe中引用的问题 X-Frame-Options HTTP响应头可用于指示是否允许浏览器在a中渲染页面<frame>要么<iframe> 。使用这个插件删除它! 支持语言:中文 (简体)
使用HTTP响应头X-Frame-Options防止网页被Frame
Just do IT
08-02 2万+
有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。 X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frameframe加载。
安全头响应头(二)​X-Frame-Options
wzj_110的博客
07-06 4738
Sources源形式。
X-Frame-Options简介
顺其自然~专栏
09-13 4995
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
X-Frame-Options
hjh_cos
10-30 8250
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<ifr
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2614
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
x-frame-options
xiaoyounihao的博客
03-29 781
https://newsn.net/say/x-frame-options-and-iframe.html
HTTP X-Frame-Options
Adongqin的专栏
12-21 416
X-Frame-Options       X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面&lt;FRAME&gt;   或 &lt;IFRAME&gt;中. 以确保网站内容是不是嵌入到其它网站.   &lt;head&gt; &lt;meta http-equiv="Content-Type" content="text...
apache iis 使用HTTP 响应头信息中的 X-Frame-Options属性
IT技术宅-北方的刀郎
08-29 2183
原文:https://www.jb51.net/article/109436.htm 方法三:使用HTTP 响应头信息中的 X-Frame-Options属性 使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGINframe页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址...
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
HTTP响应头部使用X-Frame-Options检查
最新发布
07-25
HTTP响应头部的 X-Options 是一种安全头信息,用于防止页面被嵌入到 iframe 或其他页面中作为 frame 的一部分。这种攻击形式通常被称为点击劫持(Clickjacking),它允许恶意攻击者操纵用户的交互行为,使得用户实际上在不知情的情况下对攻击者的服务器发起请求。 ### X-Frame-Options 防止了网站内容被意外地或未经授权地放置在框架中。这对于保护网站免受点击劫持至关重要。通过设置此头部,网站可以指示浏览器是否以及如何显示其内容作为一个框架的一部分。 ### 设置方式 该头部支持三个值: - `DENY`:禁止将网页放入任何框架,这通常是推荐的安全策略。 - `SAMEORIGIN`:仅当源网址与当前网页来自相同的域名、协议和端口时,才允许将其放入框架。 - `ALLOW-FROM <uri>`:允许从指定的 URI 向前引用的内容放入框架。 例如: ```http X-Frame-Options: SAMEORIGIN ``` ### 实现示例 在 Web 开发中,可以通过应用服务器配置文件或者直接在 HTML 文件的 `<head>` 标签内添加 `<meta>` 标签的方式设置 X-Frame-Options。 对于使用 Node.js 和 Express 框架的项目,可以通过中间件来处理: ```javascript app.use((req, res, next) => { res.setHeader('X-Frame-Options', 'SAMEORIGIN'); next(); }); ``` ### 相关问题: 1. **为什么需要使用 X-Frame-Options**?解释为什么防止点击劫持对网站来说很重要。 2. **如何自定义 X-Frame-Options 的值**?列出所有可用选项及其含义。 3. **如何检测一个网站是否启用了 X-Frame-Options**?并解释其可能的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值