說說如何防禦點選劫持
阿新 • • 發佈:2019-12-31
可以使用 X-Frame-Options HTTP 響應頭,來防禦點選劫持。
X-Frame-Options 可以有以下這些值:
X-Frame-Options: deny X-Frame-Options: sameorigin X-Frame-Options: allow-from example.com/
具體說明如下:
| 引數 | 說明 |
|---|---|
| deny | 禁止頁面在 frame 中展示,即使是在相同域名下也不允許。 |
| sameorigin | 允許頁面在相同域名的 frame 中展示。 |
| allow-from uri | 允許頁面在指定來源的 frame 中展示。 |
在 nginx 中這樣配置,可以確保 frame 中載入的頁面是在同域名下:
add_header X-Frame-Options sameorigin always;
複製程式碼瀏覽器支援情況如下:
