360x-frame-options头未设置

这是360的解决办法：

描述： 目标服务器没有返回一个X-Frame-Options头。

X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面，网站可以用这个头来保证他们的内容不会被嵌入到其它网站中，以来避免点击劫持。

危害： 攻击者可以使用一个透明的、不可见的iframe，覆盖在目标网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击iframe页面的一些功能性按钮上，导致被劫持。

解决方案：

修改web服务器配置，添加X-frame-options响应头。赋值有如下三种：

（1）DENY：不能被嵌入到任何iframe或frame中。

（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。

（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

也可在代码中加入，在PHP中加入：

header('X-Frame-Options: DENY');

博主经过测试未能解决，由于博主空间是虚拟机，权限没有那么高。经过反复测试终于解决。

1、在php代码中加

header('X-Frame-Options: DENY');//最好是加SAMEORIGIN，原因是后台基本是用的iframe框架。如果值给DENY会导致后台无法使用。

2，网站如果是静态化

这里分2种情况：

linux+apache

在IfModule里面加上Header always append X-Frame-Options SAMEORIGIN
<IfModule mod_rewrite.c>

Header always append X-Frame-Options SAMEORIGIN

</IfModule>

windows+iis

   <?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
	<httpProtocol>  
		<customHeaders>  
			<add name="X-Frame-Options" value="SAMEORIGIN" />  
		</customHeaders>  
	</httpProtocol>  
   </system.webServer> 	
</configuration>

本文出自：琅枫个人博客。如需转载请注明出处！

本文出处："https://www.phpfeng.cn/learn/other/64.html"