技術(shù)頻道導(dǎo)航
HTML/CSS
.NET技術(shù)
IIS技術(shù)
PHP技術(shù)
Js/JQuery
Photoshop
Fireworks
服務(wù)器技術(shù)
操作系統(tǒng)
網(wǎng)站運(yùn)營

贊助商

分類目錄

贊助商

最新文章

搜索

nginx設(shè)置X-Frame-Options的兩種方法

作者:admin    時(shí)間:2018-1-18 16:32:9    瀏覽:

本文介紹nginx分別通過http和server設(shè)置 X-Frame-Options ,防止網(wǎng)站被別人用iframe嵌入使用。需要說明的是,只需用其中一個(gè)方法即可,在http配置代碼塊或server配置代碼塊里設(shè)置。

在http配置里設(shè)置X-Frame-Options

打開nginx.conf,文件位置一般在安裝目錄 /usr/local/nginx/conf 里。

然后在http配置代碼塊里某一行添加如下語句即可:

add_header X-Frame-Options SAMEORIGIN;

如圖所示:

 在http配置里設(shè)置X-Frame-Options

在http配置里設(shè)置X-Frame-Options

添加后,重啟nginx,命令是:

/usr/local/nginx/sbin/nginx -s reload

即可生效。

在server配置里設(shè)置X-Frame-Options

在server配置里設(shè)置X-Frame-Options跟在http配置里設(shè)置X-Frame-Options方法是一樣的,同樣是在server的配置代碼塊里添加如下語句即可:

add_header X-Frame-Options SAMEORIGIN;

如圖所示:

在server配置里設(shè)置X-Frame-Options

在server配置里設(shè)置X-Frame-Options

添加后,重啟nginx,命令是:

/usr/local/nginx/sbin/nginx -s reload

即可生效。

知識擴(kuò)展

X-Frame-Options 響應(yīng)頭

X-Frame-Options HTTP 響應(yīng)頭是用來給瀏覽器指示允許一個(gè)頁面可否在 <frame>, <iframe> 或者 <object> 中展現(xiàn)的標(biāo)記。網(wǎng)站可以使用此功能,來確保自己網(wǎng)站的內(nèi)容沒有被嵌到別人的網(wǎng)站中去,也從而避免了點(diǎn)擊劫持 (clickjacking) 的攻擊。

X-Frame-Options 有三個(gè)值:

DENY

表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中嵌套也不允許。

SAMEORIGIN

表示該頁面可以在相同域名頁面的 frame 中展示。

ALLOW-FROM uri

表示該頁面可以在指定來源的 frame 中展示。

換一句話說,如果設(shè)置為 DENY,不光在別人的網(wǎng)站 frame 嵌入時(shí)會無法加載,在同域名頁面中同樣會無法加載。另一方面,如果設(shè)置為 SAMEORIGIN,那么頁面就可以在同域名頁面的 frame 中嵌套。

您可能對以下文章也感興趣

標(biāo)簽: nginx  X-Frame-Options  
x
  • 站長推薦
/* 左側(cè)顯示文章內(nèi)容目錄 */