帮助文档
专业提供香港服务器、香港云服务器、香港高防服务器租用、香港云主机、台湾服务器、美国服务器、美国云服务器vps租用、韩国高防服务器租用、新加坡服务器、日本服务器租用 一站式全球网络解决方案提供商!专业运营维护IDC数据中心,提供高质量的服务器托管,服务器机房租用,服务器机柜租用,IDC机房机柜租用等服务,稳定、安全、高性能的云端计算服务,实时满足您的多样性业务需求。 香港大带宽稳定可靠,高级工程师提供基于服务器硬件、操作系统、网络、应用环境、安全的免费技术支持。
服务器资讯 / 香港服务器租用 / 香港VPS租用 / 香港云服务器 / 美国服务器租用 / 台湾服务器租用 / 日本服务器租用 / 官方公告 / 帮助文档
HTTP 响应头 X-Frame-Options
发布时间:2024-03-02 23:38:45   分类:帮助文档
HTTP 响应头 X-Frame-Options 简介 X-Frame-Options HTTP 响应头用来给浏览器一个指示。该指示的作用为:是否允许页面在 , 或者 中展现。 网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 重点1:当访问网页浏览器支持 X-Frame-Options 时,有效。 重点2:Content-Security-Policy (CSP) HTTP 响应头有一个名为 frame-ancestors 的指令,有相同的作用。支持CSP frame-ancestors 指令的浏览器已经废弃了 X-Frame-Options 响应头。 语法 X-Frame-Options: DENY 或 X-Frame-Options: SAMEORIGIN 检查 X-Frame-Options 是否已生效 以Google浏览器为例,打开网站按F12键,选择Network,找到对应的Headers,如下图所示 测试 X-Frame-Options 是否已生效 https://clickjacker.io/ Nginx 配置 X-Frame-Options 配置 Nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中: add_header X-Frame-Options SAMEORIGIN always; 了解 Nginx 的 add_header 指令入口 spring boot 配置 X-Frame-Options 启用 X-Frame-Options 支持SAMEORIGIN的设置方式: @EnableWebSecurity @Configuration public class WebSecurityConfig extends DefaultWebSecurityConfigurer { @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http); http.headers().frameOptions().sameOrigin(); } } 禁用 X-Frame-Options @EnableWebSecurity @Configuration public class WebSecurityConfig extends DefaultWebSecurityConfigurer { @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http); http.headers().frameOptions().disable(); } } 参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Frame-Options https://blog..net/zzhongcy/article/details/124609116 https://blog..net/u014704612/article/details/115633050
  • 7*24H在线售后
  • 高可用资源,安全稳定
  • 1v1专属客服对接
  • 无忧退款试用保障