使⽤设置报头x-Frame-Options限制iframe⽹页嵌套x-frame-options的出现⼀部分是为了防⽌⼀些别有⽤⼼的者制作钓鱼⽹站,现在⽀持的浏览器有⼀下:chrome 4.1.249.1042
firefox 3.6.9(1.9.2.9)
IE 8.0
opera 10.50
safari
使⽤ X-Frame-Options 有三个可选的值:
DENY:浏览器拒绝当前页⾯加载任何Frame页⾯
SAMEORIGIN:frame页⾯的地址只能为同源域名下的页⾯
ALLOW-FROM:允许frame加载的页⾯地址
PHP代码:
header('X-Frame-Options:Deny');
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN
在grape&Sinatra中设置办法
get "/url" do
response.headers["X-Frame-Options"] = ''
iframe嵌套页面加载慢do something
end
在header中增加 X-Frame-Options SAMEORIGIN 输出,如下图:
其它防⽌被 FRAME 加载你的⽹站页⾯⽅法:
1. meta 标签:很多时候没有效果,⽆视。
<meta http-equiv="Windows-Target" contect="_top">
2. js 判断顶层窗⼝跳转,可轻易破解,意义不⼤。
function locationTop(){
if (top.location != self.location) {
top.location = self.location;
return false;
}
return true;
}
locationTop();
破解:
// 顶层窗⼝中放⼊代码 var location = document.location; // 或者 var location = "";
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论