`

Nginx添加header防止网页被iframe

阅读更多

       页面给很多可恶的人调用己经不是什么怪事了,我们网站经常被人直接利用iframe调用了,后来找了一些方法防止页面给调用了。

        下面主要说说几种防止被CrossFrame的方法:

 
可以使用php或nginx等添加X-Frame-Options header来控制frame权限
X-Frame-Options有三个可选的值:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:允许frame加载的页面地址
 
1、php防止方法

 

 代码如下 复制代码
header('X-Frame-Options:Deny');

2、Nginx防止方法

 代码如下 复制代码

add_header X-Frame-Options SAMEORIGIN

可以加在locaion中

 代码如下 复制代码
location /
{
     add_header X-Frame-Options SAMEORIGIN;
}

3、Apahe 防止方法


Header always append X-Frame-Options SAMEORIGIN
使用后不充许frame的页面会显示一个白板

补充

我写了一段很简单的javascript代码,大家只要将它放入网页源码的头部,那些流氓就没有办法使用你的网页了。

 代码如下 复制代码

<script type="text/javascript">
if (window!=top) // 判断当前的window对象是否是top对象
top.location.href =window.location.href; // 如果不是,将top对象的网址自动导向被嵌入网页的网址
</script>

升级一下彻底防止别人用iframe框架嵌套调用自己的网页,如下方法是最可靠的.
这里赋值为空页面,也可赋值为你的页面的url地址.

 代码如下 复制代码
<script language="javascript">
if(top != self){
    location.href = "about:blank";
}
</script>
javascript防止网页被别人iframe框架
</head>
<body>
</body>
</html>


上面代码只能防止最简单的,如果对方使用的是利用php curl抓取呢?这样我们需要封对方IP才可以,最常用的就是在于apache或防火墙中把对方IP设置为黑名单了,这样就抓取不了。

分享到:
评论

相关推荐

    PHP、Nginx、Apache中禁止网页被iframe引用的方法

    在网络安全领域,防止网页被iframe嵌入是一种常见的防御策略,以避免点击劫持(Clickjacking)和其他潜在的安全风险。点击劫持是一种攻击技术,攻击者通过在恶意网站上使用iframe嵌入受害者的网站,从而伪装成受害者...

    Nginx解决转发地址时跨域的问题

    No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access. 这就是跨域问题。解决方案有不少,比较好的是服务器端配置CORS,但要求服务器端...

    X-Frame-Options头未设置 防止网页被iframe内框架调用

    危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe...

    iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法

    这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用透明iframe覆盖目标网页,诱使用户在不知情的情况下执行恶意操作。 点击劫持的危害主要体现在,攻击者可以通过iframe将目标网站内容嵌入到自己的网页中...

    iframe嵌入链接本地环境正常,正式环境重定向到登录解决

    在开发过程中,经常需要将一个网页嵌入到另一个网页中,通常的做法是使用HTML中的`&lt;iframe&gt;`标签来实现这一功能。但在实际操作中可能会遇到这样的情况:在本地环境中,页面能够正常显示;然而,在正式环境中,页面却...

    ngnix 漏洞修复文档

    通过添加 add_header X-Xss-header “1;mode=block”; 可以解决这个问题。 5. X-Download-Options 响应头缺失 X-Download-Options 是一种 HTTP 响应头,用于指定下载行为。通过添加 add_header X-Download-Options...

    P3P Header解决Cookie跨域的问题

    P3P  P3P是一種被稱為個人隱私安全平臺項目(the ... 當頁面存在iframe時,想要獲取iframe框架裏面的cookie,就要在iframe相應的動態頁面裏面添加P3P Header信息,否則在IE下獲取不到。因為IE有安全策略,限制頁面不

    X-Frame-Options未配置漏洞修复参考v1.0.docx

    点击劫持是一种网络攻击技术,攻击者通过在目标网页上覆盖一个透明的iframe,诱使用户在不知情的情况下与iframe中的内容交互,从而达到操纵用户行为的目的。例如,攻击者可能会引导用户点击原本属于目标网站的功能...

    利用Nginx代理如何解决前端跨域问题详析

    此外,为了更精细地控制跨域策略,可以在Nginx配置中添加`add_header`指令,设置`Access-Control-Allow-Origin`等CORS相关的HTTP头部。例如: ```nginx location /api/ { proxy_pass http://localhost:4000; add_...

    Nginx服务器https配置的方法示例

    `指令防止网页在iframe中被其他网站引用。 8. 会话缓存:`ssl_session_cache shared:SSL:10m;`指令设置SSL会话缓存,以优化性能。 9. 超时设置:`ssl_session_timeout 10m;`指令设置SSL会话的超时时间。 10. 长...

    signalR跨域及解决方案

    这种策略是为了保护用户数据安全,防止恶意网站窃取或篡改信息。 **为什么会发生跨域问题?** 跨域是由浏览器的同源策略引起的,这是浏览器内置的安全机制。同源策略限制了来自不同源的JavaScript代码对页面资源的...

    jqdialog:jqueryUI 与 iframe

    以Nginx为例,可以在配置文件`nginx.conf`中添加以下内容: ```nginx location / { add_header Access-Control-Allow-Origin *; # 允许所有来源访问 add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS...

    Laravel 5.5官方推荐的Nginx配置学习教程

    ` 它禁止浏览器根据内容推测MIME类型,防止因类型误判引发的安全问题,如图片被解析为JavaScript执行。 4. **Favicon和Robots.txt的日志处理**: - `location = /favicon.ico { access_log off; log_not_found off;...

    Nginx提高安全与性能的最好配置详解

    `,表示仅允许当前网站下的页面在iframe中被加载。 2. `X-Content-Type-Options`:此响应头用于禁止浏览器对类型检测进行嗅探,有助于防止某些类型的攻击,如点击劫持。添加`add_header X-Content-Type-Options ...

    跨域问题与解决方案.docx

    同源策略是一项重要的安全措施,它限制了一个源(协议、主机和端口)的网页访问另一个源的资源,以防止恶意网站窃取或篡改用户信息。然而,这同时也为跨域数据交互带来了一定的困扰。 1. **JSONP(JSON with Padding...

    如何阻止网站被恶意反向代理访问(防网站镜像)

    2. **防止iframe嵌入**:针对iframe的滥用,可以在页面头部添加JavaScript代码,检查当前页面是否为主页面,如果不是则重定向。 ```javascript if (top.location != self.location) top.location=self.location; ...

    前端后端跨域问题

    语义化标签使页面结构更加清晰易懂,例如`&lt;header&gt;`、`&lt;footer&gt;`、`&lt;article&gt;`等标签的使用提高了网页的可读性和可维护性。 #### 增强型表单 H5提供了多种新的表单输入类型,如`date`、`time`、`email`等,这些类型...

    Web应用服务器安全:攻击、防护与检测

    - **Nginx**:`add_header X-Frame-Options "DENY";` - **Java Servlets**:`response.addHeader("x-frame-options", "DENY");` #### 跨站脚本(Cross-Site Scripting, XSS) 跨站脚本攻击是指攻击者利用目标网站...

    10种跨域解决方案.docx

    其目的是为了防止恶意文档对用户的隐私数据造成威胁,减少潜在的安全风险。 根据MDN的解释,同源策略规定了文档或脚本如何与另一个源中的资源进行交互。当尝试跨域访问时,通常会遇到以下错误消息:“No 'Access-...

Global site tag (gtag.js) - Google Analytics