Hao

nginx配置X-Frame-Options响应头

wordpress 2018-05-09 15296 0
11:51:37
摘要

X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

nginx配置X-Frame-Options响应头

X-Frame-Options

X-Frame-Options 有三个值:

  1. DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
  2. SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
  3. ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。

nginx配置X-Frame-Options头

配置文件一般在 nginx/conf/nginx.conf

add_header X-Frame-Options SAMEORIGIN  //加入到服务器配置文件的'http'或者'server'中

配置完成后重启服务器  service nginx restart

怎么确定自己已经开启了呢?

打开自己的网页,在开发者工具中查看是否有此信息,F12→Network→Doc,然后查看headers信息

如图:nginx配置X-Frame-Options响应头

扩展:

  1. 什么是clickjacking?
  2. X-Frame-Options响应头?

 

本文由 Hao创作,转载请注明

最后编辑时间:2019-04-06 22:49:47

发表评论