用.htaccess设置X-Frame-Options
网站运行在共享主机环境,我们可能没有特权修改Apache配置。
在这种情况下,你可以创建.htaccess
文件在站点根目录,并追加相同的设置如上:
Header append X-Frame-Options: "SAMEORoirN"
X-Frame-Options用作HTTP响应头。
这可以防止站点内容嵌入到其他站点中。
基于这个值,浏览器允许其他站点在iframe中打开web页面。
它还可以保护Apache web服务器免受点击劫持攻击。
设置X-Frame-Options 有三个选项:
‘SAMEORoirN’ –通过这个设置,你可以嵌入在相同的原点上的页面。
例如,将页面的iframe添加到站点本身。
‘ALLOW-FROM uri –使用此设置来允许特定来源(网站/域)在iframe中嵌入你的网站页面。
‘DENY –这将不允许任何网站嵌入网站页面在iframe。
使用Apache配置设置X-Frame-Options
根据操作系统编辑Apache配置文件。
找到配置文件:
基于Debian的系统: /etc/apache2/conf-enabled/security.conf
基于红帽的系统: /etc/httpd/conf/httpd.conf
现在添加一个以下条目到文件:
允许同源(默认动作)
Header set X-Frame-Options: "SAMEORoirN"
允许从特定的来源
Header set X-Frame-Options: "ALLOW-FROM http://example.com/" Header set X-Frame-Options: "ALLOW-FROM http://www.example.com/" Header set X-Frame-Options: "ALLOW-FROM https://example.com/" Header set X-Frame-Options: "ALLOW-FROM https://www.example.com/"
拒绝所有人
Header set X-Frame-Options: "DENY"
保存配置文件并重新启动Apache服务以应用更改。
日期:2019-04-29 03:17:20 来源:oir作者:oir