|
|
|
|
|
本文介紹nginx分別通過http和server設(shè)置 X-Frame-Options
,防止網(wǎng)站被別人用iframe嵌入使用。需要說明的是,只需用其中一個(gè)方法即可,在http配置代碼塊或server配置代碼塊里設(shè)置。
打開nginx.conf
,文件位置一般在安裝目錄 /usr/local/nginx/conf
里。
然后在http配置代碼塊里某一行添加如下語句即可:
add_header X-Frame-Options SAMEORIGIN;
如圖所示:
在http配置里設(shè)置X-Frame-Options
添加后,重啟nginx,命令是:
/usr/local/nginx/sbin/nginx -s reload
即可生效。
在server配置里設(shè)置X-Frame-Options跟在http配置里設(shè)置X-Frame-Options方法是一樣的,同樣是在server的配置代碼塊里添加如下語句即可:
add_header X-Frame-Options SAMEORIGIN;
如圖所示:
在server配置里設(shè)置X-Frame-Options
添加后,重啟nginx,命令是:
/usr/local/nginx/sbin/nginx -s reload
即可生效。
X-Frame-Options 響應(yīng)頭
X-Frame-Options HTTP 響應(yīng)頭是用來給瀏覽器指示允許一個(gè)頁面可否在 <frame>, <iframe> 或者 <object> 中展現(xiàn)的標(biāo)記。網(wǎng)站可以使用此功能,來確保自己網(wǎng)站的內(nèi)容沒有被嵌到別人的網(wǎng)站中去,也從而避免了點(diǎn)擊劫持 (clickjacking) 的攻擊。
X-Frame-Options 有三個(gè)值:
表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中嵌套也不允許。
表示該頁面可以在相同域名頁面的 frame 中展示。
表示該頁面可以在指定來源的 frame 中展示。
換一句話說,如果設(shè)置為 DENY,不光在別人的網(wǎng)站 frame 嵌入時(shí)會無法加載,在同域名頁面中同樣會無法加載。另一方面,如果設(shè)置為 SAMEORIGIN,那么頁面就可以在同域名頁面的 frame 中嵌套。