Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >防止别人 iframe 自己的页面

防止别人 iframe 自己的页面

作者头像

Savalone

发布于 2020-02-11 06:18:44

发布于 2020-02-11 06:18:44

1.4K00

代码可运行

举报

文章被收录于专栏：Savalone's BlogSavalone's Blog

运行总次数：0

代码可运行

一、如果对方是静态调用 iframe，用 js 阻止即可，

<script>
if ( top !== self ) top.location.replace( self.location.href );
</script>

二、如果对方是动态调用的（类似于下方代码），又禁用了自己页面的 js 的话，

<script type="text/javascript" charset="utf-8">
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://www.mypage.com/this.html" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
</script>

可在 php 文件里加上 X-Frame-Options 响应头代码

header('X-Frame-Options:Deny');

X-Frame-Options 有三个值

分别是 “DENY”、“SAMEORIGIN”、“ALLOW-FROM http://domain.com/url.html”

DENY：表示该页面禁止 frame，即使是同域名的页面中嵌套也不允许。 SAMEORIGIN：表示该页面可以在同域名页面的 frame 中展示。 ALLOW-FROM url：表示该页面可以在指定来源的 frame 中展示。

三、踩坑！下面这种直接在 html 的 head 中加 meta 是没用的，切记。

<meta http-equiv="X-Frame-Options" content="deny">

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2019年10月24日，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

多租户的 4 种常用方案

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

60页PPT全解：DeepSeek系列论文技术要点整理

iframe页面嵌套提示X-Frame-Options问题

最近需要在大屏网页中嵌套跳转一些网站地址，使用 iframe 页面嵌套时会提示X-Frame-Options问题，具体报错如下：

Li_XiaoJin

2022/12/15

8.8K0

打破 iframe 安全限制的 3 种方案

http https html 网络安全

关注「前端向后」微信公众号，你将收获一系列「用心原创」的高质量技术文章，主题包括但不限于前端、Node.js以及服务端技术

ayqy贾杰

2019/12/25

30.5K2

打破 iframe 安全限制的 3 种方案

怎么防止WordPress等网站被别人使用iframe框架恶意调用？

最近发现了一个网站竟然直接使用iframe引用了全站，包括腾讯云的全站，已经通知了腾讯云的运营，运营的答复是会通过司法途径尝试去解决。个人是不可能这么干了，太麻烦，但是我也联系了该网站所在的网安进行监督处理，不知道是什么结果，有结果了再说吧

沈唁

2018/08/21

1.2K0

怎么防止WordPress等网站被别人使用iframe框架恶意调用？

X-Frame-Options安全警告处理

html apache 网站 iis express

所述X-Frame-OptionsHTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>，<iframe>或<object>。通过确保其内容未嵌入其他网站，网站可以使用此功能来避免点击劫持攻击。

码客说

2022/09/23

3.4K0

X-Frame-Options安全警告处理

使用HTTP Headers防御WEB攻击

你可以在XAMPP、WAMP、LAMP、MAMP下设置PHP-MYSQL应用，当然这个选择完全取决于你的喜好。

黄啊码

2020/05/29

9230

nginx设置X-Frame-Options的两种方法

本文介绍nginx分别通过http和server设置 X-Frame-Options ，防止网站被别人用iframe嵌入使用。需要说明的是，只需用其中一个方法即可，在http配置代码块或server配置代码块里设置。

后端技术探索

2018/08/10

19.6K0

前端安全知识

xss: 跨站脚本攻击（Cross Site Scripting）是最常见和基本的攻击 WEB 网站方法，攻击者通过注入非法的 html 标签或者 javascript 代码，从而当用户浏览该网页时，控制用户浏览器。

三毛

2018/08/30

6400

NGINX增加X-Frame-Options配置，防止页面被嵌套

有时候站长不希望自己网页页面被其他站的FRAME嵌套进去，这时候就需要的HTTP协议头里增加X-Frame-Options这一项。 X-Frame-Options的值有三个：（1）DENY --- 表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。（2）SAMEORIGIN --- 表示该页面可以在相同域名页面的 frame 中展示。（3）ALLOW-FROM https://example.com/ --- 表示该页面可以在指定来源的 frame 中展示。下

用户2135432

2018/06/04

2.4K0

iframe跨域安全

nginx html 网站

响应头X-Frame-Options是用来给浏览器指示允许一个页面可否在<frame>，<iframe>，<object>中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌套到其他网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。

路过君

2020/08/28

5.9K0

漏洞笔记 | X-Frame-Options Header未配置

html apache 网站网络安全安全

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。

TeamsSix

2019/11/20

4.7K0

避免页面被劫持的新办法

apache iis nginx 网站

以前经常用前端的一段js代码，但防君子不防小人，别人还是可以通过禁用js，或动态修改js来引用。

崔文远TroyCui

2019/02/26

1.1K0

深入理解iframe

iframe 用于在页面内显示页面，使用 <iframe> 会创建包含另外一个文档的内联框架（即行内框架）

Leophen

2019/08/25

4.5K0

前端安全问题之点击劫持

缓存网络安全安全 html jquery

点击劫持也可以称 UI 覆盖攻击。是一种视觉上的欺骗手段，攻击者通过使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，通过调整iframe页面的位置，可以使得伪造的页面恰好和iframe里受害页面里一些功能重合（按钮），以达到窃取用户信息或者劫持用户操作的目的。如下示例（图片来自网络，如有侵权，请留言删除）：

前端知知

2022/09/29

1.2K0

使用CSP代替X-frame-options

内容安全策略（Content-Security-Policy）是W3C的一项重要标准，旨在防止广泛的内容注入攻击，如跨站点脚本（XSS）等。 CSP 有着灵活的白名单控制.

用户1416054

2018/12/27

2.9K0

Clickjacking简单介绍

今天没有原创文章发了，从乌云知识库里选了一个文章给大家分享一下，不知道这种方式，大家是否能够接我从乌云知识库里选择一些文章给大家分享，请大家给我提出来，我来根据大家的意见来做出变化，毕竟写原创不易，请大家谅解。欢迎大家给我留言，让我知道你们的想法。

信安之路

2018/08/08

1.1K0

Clickjacking简单介绍

Spring 配置的 H2 控制台 frameOptions 导致无法访问

在 Spring 中的 frameOptions 配置为 iframe 的安全配置。

HoneyMoose

2020/10/23

1.1K0

Spring 配置的 H2 控制台 frameOptions 导致无法访问

面试中常见的的 web 安全问题

安全 html sql http https

安全涉及的领域很大，我也仅仅是了解一些皮毛，每次面试前都要找资料复习，很麻烦。

前端迷

2019/10/22

8010

前端安全问题之-点击劫持

点击劫持（ClickJacking）是一种视觉上的欺骗手段。一是攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的iframe页面；二是攻击者使用一张图片覆盖在网页，遮挡网页原有位置的含义； iframe解决方法使用一个HTTP头——X-Frame-Options。X-Frame-Options可以说是为了解决ClickJacking而生的，它有三个可选的值： DENY：浏览器会拒绝当前页面加载任何frame页面； SAMEOR

游魂

2018/06/08

7920

跟我一起探索HTTP-X-Frame-Options

http frame 浏览器配置域名

仅当访问文档的用户使用支持 X-Frame-Options 的浏览器时，此附加的安全性才会被提供。

用户1418987

2023/10/16

5400

跟我一起探索HTTP-X-Frame-Options

Nginx配置iframe访问

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌套到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。

华创信息技术

2020/05/25

8K0

Nginx配置iframe访问

相关推荐

iframe页面嵌套提示X-Frame-Options问题

更多 >

LV.1

这个人很懒，什么都没有留下～

作者相关精选

加入讨论

的问答专区 >

1产品KOL擅长5个领域

相关课程

一站式学习中心 >

云开发微搭低代码平台-一人构建企业级应用实战训练营

腾讯云微搭低代码

AI绘画-StableDiffusion图像生成

大模型图像创作引擎

高性能应用服务