防止网页被frame的几种方法

heimao

在我们平时的开发中，如果网页没有做防frame的处理，有可能被骇客利用，进行ClickJacking攻击，对网站造成损害。

其实在我们的日常开发中，养成这种安全意识的习惯，很容易就可以避免大部分的攻击力了。

以下几种方法可以防止被 FRAME 加载你的网站页面
1. meta 标签：很多时候没有效果，可以无视

1. meta http-equiv="Windows-Target" contect="_top"

复制代码

2. js 判断顶层窗口跳转，可轻易破解，意义不大

1. function locationTop(){
   
2.     if (top.location != self.location) {
   
3.         top.location = self.location;
   
4.         return false;      
   
5.     }
   
6.     return true;
   
7. }
   
8. locationTop();

复制代码

破解：

1. // 顶层窗口中放入代码
   
2. var location = document.location;
   
3. // 或者 var location = "";

复制代码

3. header 控制，绝大部分浏览器支持
使用 X-Frame-Options 有三个可选的值：
DENY：浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN：frame页面的地址只能为同源域名下的页面
ALLOW-FROM：允许frame加载的页面地址

Java代码:
response.addHeader("x-frame-options","SAMEORIGIN");

Nginx配置:
add_header X-Frame-Options SAMEORIGIN

Apache配置:
Header always append X-Frame-Options SAMEORIGIN

feihu

谢谢，学习了

权利的游戏

看看哈，

66113443

学习 学习学习学习