首页 > 其他分享 >HTTP安全响应头配置之X-Frame-Options

HTTP安全响应头配置之X-Frame-Options

时间:2023-09-19 22:34:10浏览次数:43  
标签:HTTP frame Frame ALLOW http Options 资源 加载

目的

这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻-击。IE8和firefox 18以后的版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKit已经在研究这个了。

正确的设置

DENY – 禁止所有的资源(本地或远程)试图通过frame来加载其他也支持X-Frame-Options 的资源。  
SAMEORIGIN – 只允许遵守同源策略的资源(和站点同源)通过frame加载那些受保护的资源。  
ALLOW-FROM http://www.example.com – 允许指定的资源(必须带上协议http或者https)通过frame来加载受保护的资源。这个配置只在IE和firefox下面有效。其他浏览器则默认允许任何源的资源(在X-Frame-Options没设置的情况下)。

通常不正确的设置

ALLOW FROM http://example.com – ALLOW和FROM 之间只能通过连字符来连接,空格是错误的。  
ALLOW-FROM example.com – ALLOW-FROM选项后面必须跟上一个URI而且要有明确的协议(http或者https)

如何检测

可以通过访问test cases 来查看各种各样的选项 和浏览器对这些frame中的资源的响应。

标签:HTTP,frame,Frame,ALLOW,http,Options,资源,加载
From: https://blog.51cto.com/u_15520037/7529805

相关文章

  • How to enable HTTPS on a localhost Node.js Server All In One
    HowtoenableHTTPSonalocalhostNode.jsServerAllInOnelocahostHTTPSerrors❌clientError=[Error:4056C15DF87F0000:error:0A000416:SSLroutines:ssl3_read_bytes:sslv3alertcertificateunknown:../deps/openssl/openssl/ssl/record/rec_layer_s3.c:15......
  • nginx 之 https 证书配置
    HTTPS原理和作用为什么需要HTTPS原因:HTTP不安全传输数据被中间人盗用、信息泄露数据内容劫持、篡改HTTPS协议的实现对传输内容进行加密以及身份验证对称加密:加密秘钥和解密秘钥是对等的,一样的非对称加密: HTTPS加密协议原理: 中间人伪造客户端和服务端:(中间人可以......
  • 8-更大并、可混合接口模式压测的FastHttpUser
    FastHttpUser和HttpUser相比,这个类的运行占用更少压测机的CPU并且可以支撑更大的并发数,并且可以配合gevent类来实现接口混合模式压测(一个user在几乎同一时间并发多个api请求),直接上例子importtimefromgevent.poolimportPoolfromlocustimportFastHttpUser,taskdefa......
  • Spring Framework RCE CVE-2022-22965 漏洞分析
    摘要本文会从几个角度分析漏洞CVE-2022-22965,首先会从payload的构造。每次我都喜欢先分析漏洞的payload,不得不承认实力没达到可以直接分析漏洞地步。所以会先看看payload的构造过程看看,每次学习和分析漏洞的payload能学到很多有趣的角度和想法。从payload的构造分析,分析payload的......
  • httpclient
         昨天在写完java下载的文章后就在今天发现了一个问题。通过这个问题也反应出对HttpURLConnection这个类还不了解。趁此机会再添加一些对这个类的了解吧。首先看看前面那断代码在我的程序中出现了什么问题:        在我的程序中有这么一个模块,通过给定的url......
  • 2.HTTP、HTTPS
    (1)HTTP协议介绍HTTP协议,全称超文本传输协议(HypertextTransferProtocol)。顾名思义,HTTP协议就是用来规范超文本的传输,超文本,也就是网络上的包括文本在内的各式各样的消息,具体来说,主要是来规范浏览器和服务器端的行为的。并且,HTTP是一个无状态(stateless)协议,也就是说服务器......
  • SpringBoot 后端配置 Https 教程
    以阿里云为例子1.申请SSL证书1.注册域名打开阿里云官网,搜索域名点击域名注册,输入域名,点击搜索选择心仪的域名,点击购买,打钱进入域名控制台,进行实名认证2.申请SSL证书打开阿里云官网,搜索SSL证书点击免费证书,领取20张券(一年可以领20张,可以创建20张免......
  • Glide源码阅读之建造者(builder)模式3【RequestOptions】【BaseRequestOptions】
    官方定义本来解析完GlideBuilder、RequestBuilder就已经觉得建造者模式用的变化有些大了,但随着解析的进行发现还要下面的这两种变种应用。先解析出来给大家看看,说不定在某些场景下能启发读者使用这种模式应用方式builder模式应用变化一结构:publicstaticRequestOptionssizeXXXX(p......
  • HttpClient MultipartFormDataContent
    varfileStream=newMemoryStream(fileContent);varparametersList=newMultipartFormDataContent{{newStringContent(folderName),"FolderName"},{newStringContent(fileNam......
  • HTTP请求
    okHttp发送表单请求需要添加依赖compilegroup:'com.squareup.okhttp3',name:'okhttp',version:'4.9.0'importokhttp3.FormBody;importokhttp3.OkHttpClient;importokhttp3.Request;importokhttp3.RequestBody;importokhttp3.Response;......