卡卡網(wǎng)

前面介紹過nginx設(shè)置X-Frame-Options的兩種方法，但是那是針對整個(gè)網(wǎng)站來設(shè)置的，如果只想某一個(gè)目錄的網(wǎng)頁不能被iframe，又該如何設(shè)置呢？本文將解決這個(gè)問題。

在location配置里設(shè)置X-Frame-Options

打開nginx.conf，文件位置一般在安裝目錄 /usr/local/nginx/conf 里。

假如要禁止 /cache/ 這個(gè)目錄的網(wǎng)頁被iframe，則在server配置代碼里添加如下語句即可：

location /cache/ {
  add_header X-Frame-Options SAMEORIGIN;
}

如圖所示：

在location配置里設(shè)置X-Frame-Options

知識擴(kuò)展

X-Frame-Options 響應(yīng)頭

X-Frame-Options HTTP 響應(yīng)頭是用來給瀏覽器指示允許一個(gè)頁面可否在 <frame>, <iframe> 或者 <object> 中展現(xiàn)的標(biāo)記。網(wǎng)站可以使用此功能，來確保自己網(wǎng)站的內(nèi)容沒有被嵌到別人的網(wǎng)站中去，也從而避免了點(diǎn)擊劫持 (clickjacking) 的攻擊。

X-Frame-Options 有三個(gè)值:

DENY

表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許。

SAMEORIGIN

表示該頁面可以在相同域名頁面的 frame 中展示。

ALLOW-FROM uri

表示該頁面可以在指定來源的 frame 中展示。

換一句話說，如果設(shè)置為 DENY，不光在別人的網(wǎng)站 frame 嵌入時(shí)會無法加載，在同域名頁面中同樣會無法加載。另一方面，如果設(shè)置為 SAMEORIGIN，那么頁面就可以在同域名頁面的 frame 中嵌套。 

相關(guān)文章

• 【JS實(shí)現(xiàn)】同域可以但禁止異域網(wǎng)站用iframe嵌入網(wǎng)頁
• 【輕易破解】使用JS防止網(wǎng)頁被Frame框架調(diào)用？
• web.config 設(shè)置 X-Frame-Options 的方法【親測有效】
• 360安全提示“X-Frame-Options頭未設(shè)置”的解決方法(IIS)

標(biāo)簽: nginx  X-Frame-Options