php - 使用“X-Frame-Options”的点击劫持保护？

Question

我想使用 X-Frame-Options 为我的网站添加点击劫持保护。我网站中的几个页面显示在一个框架中，所以我想保护它们，但同时正确地呈现它们。据我了解，我需要在 X-Frame-Options 值中使用 SAMEORIGIN 选项。但是 SAMEORIGIN 到底是什么意思呢？是同一个网站的意思吗？我发现的官方描述不是很清楚 2 个页面共享相同的“来源”是什么意思......这里有人可以帮我解决这个问题吗？谢谢！

Answer 1

“来源”是网站的方案+主机+端口。也就是说，http://example.com/有一个起源(http, example.com, 80)。https://example.com/是一个不同的起源，即(https, example.com, 443)。

将x-frame-options页眉设置SAMEORIGIN为所提供的页面http://example.com/意味着只有其他页面http://example.com/才能在框架中加载该页面。

Answer 2

使用 X-Frame-Options customHeaders - 将多个 uri/域添加到 web.config？

解决方案 -> 将此添加到您的 web.config

 <httpProtocol>
        <customHeaders>
<add name="Content-Security-Policy" value="frame-ancestors 'self' website1.com website2.com;"/>
 </customHeaders>
      </httpProtocol>