个人博客 > 学无止境 > 其他 > 360x-frame-options头未设置

360x-frame-options头未设置

这是360的解决办法:

描述: 目标服务器没有返回一个X-Frame-Options头。

X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。

危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

解决方案:

修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

也可在代码中加入,在PHP中加入:

header('X-Frame-Options: DENY');

博主经过测试未能解决,由于博主空间是虚拟机,权限没有那么高。经过反复测试终于解决。

1、在php代码中加

header('X-Frame-Options: DENY');//最好是加SAMEORIGIN,原因是后台基本是用的iframe框架。如果值给DENY会导致后台无法使用。

2,网站如果是静态化

这里分2种情况:

linux+apache

在IfModule里面加上Header always append X-Frame-Options SAMEORIGIN
<IfModule mod_rewrite.c>

Header always append X-Frame-Options SAMEORIGIN

</IfModule>

windows+iis

   <?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
	<httpProtocol>  
		<customHeaders>  
			<add name="X-Frame-Options" value="SAMEORIGIN" />  
		</customHeaders>  
	</httpProtocol>  
   </system.webServer> 	
</configuration>

本文出自:琅枫个人博客。如需转载请注明出处!

本文出处:"https://www.phpfeng.cn/learn/other/64.html"

如果您觉得文章对你有帮助,可以进行打赏。
打赏多少,您高兴就行,谢谢您对琅枫博客的支持! ~(@^_^@)~

微信打赏

琅枫博客微信号

支付宝打赏

琅枫博客个人支付宝
本文关键词: 360x-frame-options头未设置


你想在庞大的互联网上留下一丝足迹?

我不想成为一个庸俗的人。十年百年后,当我们死去,质疑我们的人同样死去,后人看到的是裹足不前、原地打转的你,还是一直奔跑、走到远方的我?

点我了解如何搭建个人博客?