x-frame-options http 響應頭是用來給瀏覽器指示允許乙個頁面可否在 , 或者 中展現的標記。**可以使用此功能,來確保自己**的內容沒有被巢狀到別人的**中去,也從而避免了點選劫持 (clickjacking) 的攻擊。
x-frame-options三個引數:
1、deny
表示該頁面不允許在frame中展示,即便是在相同網域名稱的頁面中巢狀也不允許。
2、sameorigin
表示該頁面可以在相同網域名稱頁面的frame中展示。
3、allow-from uri
表示該頁面可以在指定**的frame中展示。
換一句話說,如果設定為deny,不光在別人的**frame嵌入時會無法載入,在同網域名稱頁面中同樣會無法載入。另一方面,如果設定為sameorigin,那麼頁面就可以在同網域名稱頁面的frame中巢狀。正常情況下我們通常使用sameorigin引數。
apache配置
需要把下面這行新增到 'site' 的配置中
1nginx配置
需要新增到 『http』, 『server』 或者 『location』 的配置項中,個人來講喜歡配置在『server』 中
正常情況下都是使用sameorigin引數,允許同域巢狀
1add_headerx-frame-options sameorigin;
允許單個網域名稱iframe巢狀
1add_headerx-frame-options allow-from
允許多個網域名稱iframe巢狀,注意這裡是用逗號分隔
1add_headerx-frame-options"allow-from ";
iis配置
新增下面的配置到 『web.config』檔案中12
3456789
......
haproxy配置
新增下面這行到 『front-end, listen, or backend』配置中
1rspaddx-frame-options:\sameorigin
tomcat配置
在 『conf/web.xml』填加以下配置12
配置後如何確定x-frame-options是否已生效呢?我這裡以google瀏覽器為例,開啟**按f12鍵,選擇network,找到對應的headers,如下圖所
防止跨站指令碼攻擊 XSS指令碼注入
可能會竊取或操縱客戶會話和 cookie,它們可能用於模仿合法使用者,從而使黑客能夠以該使用者身份檢視或變更使用者記錄以及執行事務 在使用者提交的時候 判斷指令碼並且去掉相關資訊 執行xss清理 這裡會把前台傳過來的json需要的資料格式化 使得json序列化錯誤 所以需要把 處理掉 log.deb...
php表單防止XSS跨站指令碼攻擊
記住一句話,千萬不要相信使用者輸入的都是我們正常思維想到的東西,xss是什麼鬼?首先我們對使用者所有提交的資料都通過 php 的 htmlspecialchars 函式處理。當我們使用 htmlspecialchars 函式時,在使用者嘗試提交以下文字域 該 將不會被執行,因為它會被儲存為html轉...
跨站指令碼攻擊
跨站指令碼攻擊是眾所周知的攻擊方式之一。所有平台上的web應用都深受其擾,php應用也不例外。所有有輸入的應用都面臨著風險。webmail,code 複製內容到剪貼簿 code 複製php內容到剪貼簿 php echo name writes echo comment 這個流程對 comment及 ...