X-Frame-Options 不阻止 iframe

【问题标题】:X-Frame-Options not blocking iframeX-Frame-Options 不阻止 iframe
【发布时间】:2021-01-11 12:11:45
【问题描述】:

我已将 Apache 中的 X-Frame-Options 标头设置为 DENY。响应标头已正确发送到浏览器(见图)。我刚刚创建了一个简单的 HTML 文件,该文件加载了一个 iframe,加载时没有任何问题。我还检查了 Chrome devtools,响应头返回“x-frame-options: DENY”。我假设标头会阻止加载所有 iframe?

X-Frame-Options Response

Full Response Header

【问题讨论】:

  • 最好使用 SAMEORIGIN 而不是 DENY,否则,您将无法将自己的网站内容放到自己网站的 iframe 中。

标签: apache iframe x-frame-options


【解决方案1】:

不是真的。 X-Frame-Options: DENY 防止您的页面被加载到 iframe 中。

X-Frame-Options: SAMEORIGIN - 只会阻止从其他域加载。

它对当前页面上的 iframe 没有任何作用。

X-Frame-Options HTTP 响应标头可用于指示是否应允许浏览器以 , , 的形式呈现页面

来源:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

【讨论】:

  • 这就解释了!我将 ClickJacking 攻击误解为将恶意 iframe(通过利用其他漏洞)注入到原始网页中,而这可以通过告诉浏览器拒绝加载 iframe 来防止。但事实并非如此,非常感谢。
【解决方案2】:

如果您正在发送,请不要发送 Access-Control-Allow-Origin 来响应。这可以解决你的问题

【讨论】:

  • 感谢您的回复。但是,我没有发送 Access-Control-Allow-Origin 标头。
猜你喜欢
  • 2012-08-24
  • 1970-01-01
  • 1970-01-01
  • 2017-06-13
  • 1970-01-01
  • 1970-01-01
  • 2015-10-27
  • 2021-05-09
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode