nginx设置X-Frame-Options头的方法
墨初 互联知识 573阅读
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>、<iframe>、<embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。
X-Frame-Options 的值
X-Frame-Options有两个值分别为 DENY 与 SAMEORIGIN,下面是对这两个值的介绍。
DENY:
此值表示页面不允许在frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。规范让浏览器厂商决定此选项是否应用于顶层、父级或整个链,有人认为该选项不是很有用,除非所有的祖先页面都属于同一来源。
ALLOW-FROM uri Deprecated
此属性值在现在浏览器中已被弃用,这里不再过多的介绍。
nginx中设置X-Frame-Options头的方法
在nginx中可以使用add_header指令,来添加X-Frame-Options头。
例:
server {
listen 80;
server_name yourdomain.com;
root /var/www/html;
add_header X-Frame-Options "SAMEORIGIN";
...
}
ps:在上面的设置中我们将X-Frame-Options头设置为"SAMEORIGIN",表示只允许在相同的域名下嵌入我们的网站。您可以根据需要将其设置为其他选项,例如"DENY"或"ALLOW-FROM"。如果要添加多个头,请在同一行上使用逗号分隔它们。