兰州科源电脑网络

 

 

X-Frame-Options头如何正确设置

编辑:技术员    来源:    发布时间:2019-01-10    浏览:1914

  倘若网站有绑定在360安全检测中心,那么平时都会自动去扫描漏洞,当然有些是可以忽略的,有些是必须去关注的,更有些是误报的,那么针对X-Frame-Options头如何正确设置?

360的修复方案是:

修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

也可在代码中加入,在PHP中加入:header('X-Frame-Options: deny');

那么具体的环境如何去设置的呢?

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:Header always append X-Frame-Options SAMEORIGIN

配置 nginx

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:add_header X-Frame-Options SAMEORIGIN;

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>

  <httpProtocol>

    <customHeaders>

      <add name="X-Frame-Options" value="SAMEORIGIN" />

    </customHeaders>

  </httpProtocol>

</system.webServer>

   
 
 
 

 

名称:兰州科源电脑网络  地址: 兰州市七里河区宴北路80号  咨询电话:13893129673

   备案号:陇ICP备2024010635号-1  

 网站版权:兰州科源电脑网络     网站技术:兰州科源