本文介绍了X-Frame-Options头的三种值及其用途:DENY禁止任何网站嵌套页面;SAMEORIGIN允许同源网站嵌套;ALLOW-FROM uri允许特定来源的嵌套。这些设置有助于防止点击劫持攻击。
1、设置x-frame-options值(转自https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options)
一般在系统的过滤器上使用
response.addHeader("x-frame-options","SAMEORIGIN");
(“x-frame-options”值的区别:DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
