卡卡網(wǎng)

本文介紹nginx分別通過http和server設(shè)置 X-Frame-Options ，防止網(wǎng)站被別人用iframe嵌入使用。需要說明的是，只需用其中一個(gè)方法即可，在http配置代碼塊或server配置代碼塊里設(shè)置。

• 在http配置里設(shè)置X-Frame-Options
• 在server配置里設(shè)置X-Frame-Options

在http配置里設(shè)置X-Frame-Options

打開nginx.conf，文件位置一般在安裝目錄 /usr/local/nginx/conf 里。

然后在http配置代碼塊里某一行添加如下語句即可：

add_header X-Frame-Options SAMEORIGIN;

如圖所示：

在http配置里設(shè)置X-Frame-Options

添加后，重啟nginx，命令是：

/usr/local/nginx/sbin/nginx -s reload

即可生效。

在server配置里設(shè)置X-Frame-Options

在server配置里設(shè)置X-Frame-Options跟在http配置里設(shè)置X-Frame-Options方法是一樣的，同樣是在server的配置代碼塊里添加如下語句即可：

add_header X-Frame-Options SAMEORIGIN;

如圖所示：

在server配置里設(shè)置X-Frame-Options

添加后，重啟nginx，命令是：

/usr/local/nginx/sbin/nginx -s reload

即可生效。

知識(shí)擴(kuò)展

X-Frame-Options 響應(yīng)頭

X-Frame-Options HTTP 響應(yīng)頭是用來給瀏覽器指示允許一個(gè)頁面可否在 <frame>, <iframe> 或者 <object> 中展現(xiàn)的標(biāo)記。網(wǎng)站可以使用此功能，來確保自己網(wǎng)站的內(nèi)容沒有被嵌到別人的網(wǎng)站中去，也從而避免了點(diǎn)擊劫持 (clickjacking) 的攻擊。

X-Frame-Options 有三個(gè)值:

DENY

表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許。

SAMEORIGIN

表示該頁面可以在相同域名頁面的 frame 中展示。

ALLOW-FROM uri

表示該頁面可以在指定來源的 frame 中展示。

換一句話說，如果設(shè)置為 DENY，不光在別人的網(wǎng)站 frame 嵌入時(shí)會(huì)無法加載，在同域名頁面中同樣會(huì)無法加載。另一方面，如果設(shè)置為 SAMEORIGIN，那么頁面就可以在同域名頁面的 frame 中嵌套。

您可能對(duì)以下文章也感興趣

• 【JS實(shí)現(xiàn)】同域可以但禁止異域網(wǎng)站用iframe嵌入網(wǎng)頁
• 【輕易破解】使用JS防止網(wǎng)頁被Frame框架調(diào)用？
• web.config 設(shè)置 X-Frame-Options 的方法【親測(cè)有效】
• 360安全提示“X-Frame-Options頭未設(shè)置”的解決方法(IIS)

標(biāo)簽: nginx  X-Frame-Options