X-Frame-Options 用作 HTTP 响应标头。这可以防止您的网站内容嵌入到其他网站中。根据此值,浏览器允许其他站点在 iframe 中打开网页。它还可以保护您的 Apache Web 服务器免受点击劫持攻击。
X-Frame-Options 提供了三个选项:
-
“同源”——通过此设置,您可以将页面嵌入同一源。例如,将页面的 iframe 添加到站点本身。
-
‘允许-来自 uri –使用此设置允许特定来源(网站/域)将您网站的页面嵌入 iframe 中。
-
‘DENY –这将不允许任何网站将您的网站页面嵌入 iframe 中。
使用 Apache 配置设置 X-Frame-Options
根据您的操作系统编辑 Apache 配置文件。配置文件可以找到:
基于 Debian 的系统:/etc/apache2/conf-enabled/security.conf
基于 Redhat 的系统:/etc/httpd/conf/httpd.conf
现在将以下条目之一添加到文件中:
-
允许同源(默认操作)
Header set X-Frame-Options: "SAMEORIGIN"
-
允许来自特定来源
Header set X-Frame-Options: "ALLOW-FROM http://example.com/"
Header set X-Frame-Options: "ALLOW-FROM http://www.example.com/"
Header set X-Frame-Options: "ALLOW-FROM https://example.com/"
Header set X-Frame-Options: "ALLOW-FROM https://www.example.com/"
-
向所有人否认
Header set X-Frame-Options: "DENY"
保存配置文件并重新启动 Apache 服务以应用更改。
使用 .htaccess 设置 X-Frame-Options
在共享托管环境上运行的网站,您可能没有修改 Apache 配置的权限。在这种情况下,您可以在文档根目录上创建 .htaccess 文件并附加与上述相同的设置:
Header append X-Frame-Options: "SAMEORIGIN"
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)