《nginx等各種服務器如何設置X-Frame-Options頭》要點：
本文介紹了nginx等各種服務器如何設置X-Frame-Options頭，希望對您有用。如果有疑問，可以聯系我們。

相關主題：nginx配置 / apache配置 / 服務器配置

360搜索引擎有時會提示你：

X-Frame-Options頭未設置

那么，什么是X-Frame-Options頭？如何設置？

X-Frame-Options HTTP響應頭是用來確認是否瀏覽器可以在frame或iframe標簽中渲染一個頁面，網站可以用這個頭來保證他們的內容不會被嵌入到其它網站中，以來避免點擊劫持。

危害： 攻擊者可以使用一個透明的、不可見的iframe，覆蓋在目標網頁上，然后誘使用戶在該網頁上進行操作，此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置，可以誘使用戶恰好點擊iframe頁面的一些功能性按鈕上，導致被劫持。

一般是用JS來防止的，比如常見的比如使用js，判斷頂層窗口跳轉：

if (window != window.top) {
    window.top.location.replace(window.location); //或者干別的事情
}

一般這樣夠用了，但是這段代碼輕輕松松被破解了：

var location = document.location;
// 或者 var location = "";

也有人用META標簽，基本沒什么效果，所以也放棄了：

<meta http-equiv="Windows-Target" contect="_top">

解決方案：

修改web服務器配置，添加X-frame-options響應頭。賦值有如下三種：

（1）DENY：不能被嵌入到任何iframe或frame中。
（2）SAMEORIGIN：頁面只能被本站頁面嵌入到iframe或者frame中。
（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

也可在代碼中加入，在PHP中加入：

header('X-Frame-Options: deny');

防止某些重要網頁被其他網站框架導入，可以給頁面增加X-Frame-Options響應頭，這樣瀏覽器會依據X-Frame-Options的值來控制iframe框架的頁面是否允許加載顯示出來，IE下的效果如下（此內容無法再框架中顯示。為了幫助保護在此網站中輸入的信息安全，此內容的發行者不允許在框架中顯示該信息），其他非IE核心瀏覽器會顯示空白內容。

動態頁添加X-Frame-Options響應頭示例代碼

其它語言也可以添加，如：

ASP.NET和ASP：

Response.AddHeader("X-Frame-Options", "Deny");

JSP代碼：

response.setHeader(“X-Frame-Options”,”SAMEORIGIN”);

如果你的網站是在虛擬主機上，沒有權限配置服務器，那就用上面的代碼方式處理。如果有服務器控制權限，則可以直接用下面方法，在服務器上配置。

瀏覽器對X-Frame-Options響應頭的支持如下

當然，最好是直接在服務器上設置，如果確認你整個網站都不能被框架，可以直接設置web服務器，增加X-Frame-Options響應頭。

下面介紹幾種IIS,APACHE,NGINX服務器如何設置。

轉載請注明本頁網址：
http://www.snjht.com/jiaocheng/171.html