X-Frame-Options 标头未设置:如何设置?

【问题标题】:X-Frame-Options Header Not Set: How do I set it?X-Frame-Options 标头未设置:如何设置?
【发布时间】:2021-05-06 06:25:55
【问题描述】:

我正在为 Wamp 应用程序使用 Apache 服务器。在进行安全测试时,我收到了以下错误报告:

  1. X-Frame-Options 标头未设置。 为此,我知道有 3 种类型的 X-Frame 选项。但是我在哪里实现 SAMEORIGIN 选项以及如何实现?

  2. X-Content-Type-Options 标头丢失。

我需要做什么来解决这些问题? 谢谢。

【问题讨论】:

  • 你可以在你的 Apache 配置文件中设置这些。一个警告说明:如果您使用例如Adsense 广告按照安全建议的建议进行操作将完全破坏您的广告。
  • @AlexanderDobernig 抱歉,我是新手,您介意解释一下什么是 Adsense 广告吗?顺便说一句,我是否在我的 Apache 配置文件的任何行中设置它?
  • Adsense 是一个从 Google 投放广告以通过您的网站获利的平台。对这样的 Apache 配置选项要非常小心,因为它们会破坏一切!我这样做了一次,后来又回到了原来的状态,因为我遇到了很多问题。
  • 哇,谢谢你的建议!我一定会注意的。 :)
  • 另请参阅:stackoverflow.com/questions/17092154/x-frame-options-on-apache

标签: php apache security x-frame-options x-content-type-options


【解决方案1】:

设置以下标题:

X-Frame-Options: SAMEORIGIN
X-Content-Type-options: nosniff

由于您使用的是 Apache,请将以下内容添加到 apache 配置中:

Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options nosniff

以上对本地测试服务器没有任何作用。但是,您应该始终将它们设置在公共生产服务器中。

记住:即使它对本地服务器没有任何作用,您也可以使用此环境开发您的网站,这样在您将其发布到生产环境时它不会受到影响。

【讨论】:

  • 我是否将这些添加到我的 apache 配置的任何行?
  • @Nicole 是的。确保 mod_headers 已启用
  • 对不起,我怎么知道 mod_headers 是否启用?
  • @Nicole 在您的 httpd.conf 中,您应该从以下行中删除 ##LoadModule headers_module .... 并重新启动 apache]
  • @Nicole 让我知道这是否足够。
猜你喜欢
  • 2023-03-08
  • 2018-06-08
  • 2018-09-04
  • 2020-07-21
  • 1970-01-01
  • 2019-09-21
  • 2015-08-25
  • 1970-01-01
  • 2019-03-31
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode