hi,欢迎访问本站!
当前位置: 首页互联知识正文

nginx设置X-Frame-Options头的方法

墨初 互联知识 884阅读

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>、<iframe>、<embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。

X-Frame-Options 的值

X-Frame-Options有两个值分别为 DENY 与 SAMEORIGIN,下面是对这两个值的介绍。

DENY:

此值表示页面不允许在frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。规范让浏览器厂商决定此选项是否应用于顶层、父级或整个链,有人认为该选项不是很有用,除非所有的祖先页面都属于同一来源。

ALLOW-FROM uri Deprecated

此属性值在现在浏览器中已被弃用,这里不再过多的介绍。

nginx中设置X-Frame-Options头的方法

在nginx中可以使用add_header指令,来添加X-Frame-Options头。

例:

server {
    listen 80;
    server_name yourdomain.com;
    root /var/www/html;
    add_header X-Frame-Options "SAMEORIGIN";
    ...
}

ps:在上面的设置中我们将X-Frame-Options头设置为"SAMEORIGIN",表示只允许在相同的域名下嵌入我们的网站。您可以根据需要将其设置为其他选项,例如"DENY"或"ALLOW-FROM"。如果要添加多个头,请在同一行上使用逗号分隔它们。

声明:无特别说明,转载请标明本文来源!
相关推荐