我想使用 X-Frame-Options 为我的网站添加点击劫持保护。我网站中的几个页面显示在一个框架中,所以我想保护它们,但同时正确地呈现它们。据我了解,我需要在 X-Frame-Options 值中使用 SAMEORIGIN 选项。但是 SAMEORIGIN 到底是什么意思呢?是同一个网站的意思吗?我发现的官方描述不是很清楚 2 个页面共享相同的“来源”是什么意思......这里有人可以帮我解决这个问题吗?谢谢!
问问题
4246 次
2 回答
1
“来源”是网站的方案+主机+端口。也就是说,http://example.com/
有一个起源(http, example.com, 80)
。https://example.com/
是一个不同的起源,即(https, example.com, 443)
。
将x-frame-options
页眉设置SAMEORIGIN
为所提供的页面http://example.com/
意味着只有其他页面http://example.com/
才能在框架中加载该页面。
于 2012-12-05T12:50:51.623 回答
0
使用 X-Frame-Options customHeaders - 将多个 uri/域添加到 web.config?
解决方案 -> 将此添加到您的 web.config
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="frame-ancestors 'self' website1.com website2.com;"/>
</customHeaders>
</httpProtocol>
于 2015-08-04T06:19:00.490 回答