2

我尝试将 X-FRAME-OPTIONS 放入 http 标头以防止 Clickjacking 攻击。如果我像这样在 httpd.conf 或 .htaccess 文件中设置标题,它就可以工作。

Header set X-Frame-Options SAMEORIGIN

但是有几个地方在我自己的网站上使用 iFrame,如果我这样做,它也会阻止我自己网站上的 iFrame。所以我尝试为我自己的网站添加一个例外。检查请求是否来自我自己的网站,然后在页面上允许 iFrame。我试过这个,但它没有用。

SetEnvIf Host http://myownwebsite\.com iframes_are_cool
Header set X-Frame-Options SAMEORIGIN env=!iframes_are_cool

有人可以帮我解决这个问题吗?

4

1 回答 1

0

SetEnvIf 没有那么灵活,所以我建议只使用 // 部分。试试下面的:

<If "! %{HOST} =~ /http://myownwebsite\.com/">
  Header set X-Frame-Options SAMEORIGIN
</If>
于 2019-10-24T13:02:27.307 回答