页面给很多可恶的人调用己经不是什么怪事了,我们网站经常被人直接利用iframe调用了,后来找了一些方法防止页面给调用了。
下面主要说说几种防止被CrossFrame的方法:
可以使用php或nginx等添加X-Frame-Options header来控制frame权限
X-Frame-Options有三个可选的值:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:允许frame加载的页面地址
1、php防止方法
| 代码如下 | 复制代码 |
| header('X-Frame-Options:Deny'); |
2、Nginx防止方法
| 代码如下 | 复制代码 |
|
add_header X-Frame-Options SAMEORIGIN |
可以加在locaion中
| 代码如下 | 复制代码 |
|
location / { add_header X-Frame-Options SAMEORIGIN; } |
3、Apahe 防止方法
Header always append X-Frame-Options SAMEORIGIN
使用后不充许frame的页面会显示一个白板
补充
我写了一段很简单的javascript代码,大家只要将它放入网页源码的头部,那些流氓就没有办法使用你的网页了。
| 代码如下 | 复制代码 |
|
<script type="text/javascript"> |
升级一下彻底防止别人用iframe框架嵌套调用自己的网页,如下方法是最可靠的.
这里赋值为空页面,也可赋值为你的页面的url地址.
| 代码如下 | 复制代码 |
|
<script language="javascript"> if(top != self){ location.href = "about:blank"; } </script> javascript防止网页被别人iframe框架 </head> <body> </body> </html> |
上面代码只能防止最简单的,如果对方使用的是利用php curl抓取呢?这样我们需要封对方IP才可以,最常用的就是在于apache或防火墙中把对方IP设置为黑名单了,这样就抓取不了。
相关推荐
在网络安全领域,防止网页被iframe嵌入是一种常见的防御策略,以避免点击劫持(Clickjacking)和其他潜在的安全风险。点击劫持是一种攻击技术,攻击者通过在恶意网站上使用iframe嵌入受害者的网站,从而伪装成受害者...
No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access. 这就是跨域问题。解决方案有不少,比较好的是服务器端配置CORS,但要求服务器端...
危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe...
这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用透明iframe覆盖目标网页,诱使用户在不知情的情况下执行恶意操作。 点击劫持的危害主要体现在,攻击者可以通过iframe将目标网站内容嵌入到自己的网页中...
通过添加 add_header X-Xss-header “1;mode=block”; 可以解决这个问题。 5. X-Download-Options 响应头缺失 X-Download-Options 是一种 HTTP 响应头,用于指定下载行为。通过添加 add_header X-Download-Options...
在开发过程中,经常需要将一个网页嵌入到另一个网页中,通常的做法是使用HTML中的`<iframe>`标签来实现这一功能。但在实际操作中可能会遇到这样的情况:在本地环境中,页面能够正常显示;然而,在正式环境中,页面却...
P3P P3P是一種被稱為個人隱私安全平臺項目(the ... 當頁面存在iframe時,想要獲取iframe框架裏面的cookie,就要在iframe相應的動態頁面裏面添加P3P Header信息,否則在IE下獲取不到。因為IE有安全策略,限制頁面不
点击劫持是一种网络攻击技术,攻击者通过在目标网页上覆盖一个透明的iframe,诱使用户在不知情的情况下与iframe中的内容交互,从而达到操纵用户行为的目的。例如,攻击者可能会引导用户点击原本属于目标网站的功能...
此外,为了更精细地控制跨域策略,可以在Nginx配置中添加`add_header`指令,设置`Access-Control-Allow-Origin`等CORS相关的HTTP头部。例如: ```nginx location /api/ { proxy_pass http://localhost:4000; add_...
`指令防止网页在iframe中被其他网站引用。 8. 会话缓存:`ssl_session_cache shared:SSL:10m;`指令设置SSL会话缓存,以优化性能。 9. 超时设置:`ssl_session_timeout 10m;`指令设置SSL会话的超时时间。 10. 长...
这种策略是为了保护用户数据安全,防止恶意网站窃取或篡改信息。 **为什么会发生跨域问题?** 跨域是由浏览器的同源策略引起的,这是浏览器内置的安全机制。同源策略限制了来自不同源的JavaScript代码对页面资源的...
以Nginx为例,可以在配置文件`nginx.conf`中添加以下内容: ```nginx location / { add_header Access-Control-Allow-Origin *; # 允许所有来源访问 add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS...
` 它禁止浏览器根据内容推测MIME类型,防止因类型误判引发的安全问题,如图片被解析为JavaScript执行。 4. **Favicon和Robots.txt的日志处理**: - `location = /favicon.ico { access_log off; log_not_found off;...
`,表示仅允许当前网站下的页面在iframe中被加载。 2. `X-Content-Type-Options`:此响应头用于禁止浏览器对类型检测进行嗅探,有助于防止某些类型的攻击,如点击劫持。添加`add_header X-Content-Type-Options ...
同源策略是一项重要的安全措施,它限制了一个源(协议、主机和端口)的网页访问另一个源的资源,以防止恶意网站窃取或篡改用户信息。然而,这同时也为跨域数据交互带来了一定的困扰。 1. **JSONP(JSON with Padding...
2. **防止iframe嵌入**:针对iframe的滥用,可以在页面头部添加JavaScript代码,检查当前页面是否为主页面,如果不是则重定向。 ```javascript if (top.location != self.location) top.location=self.location; ...
语义化标签使页面结构更加清晰易懂,例如`<header>`、`<footer>`、`<article>`等标签的使用提高了网页的可读性和可维护性。 #### 增强型表单 H5提供了多种新的表单输入类型,如`date`、`time`、`email`等,这些类型...
- **Nginx**:`add_header X-Frame-Options "DENY";` - **Java Servlets**:`response.addHeader("x-frame-options", "DENY");` #### 跨站脚本(Cross-Site Scripting, XSS) 跨站脚本攻击是指攻击者利用目标网站...
其目的是为了防止恶意文档对用户的隐私数据造成威胁,减少潜在的安全风险。 根据MDN的解释,同源策略规定了文档或脚本如何与另一个源中的资源进行交互。当尝试跨域访问时,通常会遇到以下错误消息:“No 'Access-...