http响应头中X-Frame-Options的作用及危害
生活随笔
收集整理的這篇文章主要介紹了
http响应头中X-Frame-Options的作用及危害
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
目標服務器沒有返回一個X-Frame-Options頭。
攻擊者可以使用一個透明的、不可見的iframe,覆蓋在目標網頁上,然后誘使用戶在該網頁上進行操作,此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置,可以誘使用戶恰好點擊iframe頁面的一些功能性按鈕上,導致被劫持。
添加X-frame-options響應頭。
賦值有如下三種:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:頁面只能被本站頁面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
我用的是攔截器
import javax.servlet.*; import java.io.IOException; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse;/*** 攔截器-配置響應頭部 X-Frame-Options* @author potato* @date 2021/9/8 11:04*/ @WebFilter(filterName = "frameFilter", urlPatterns = "/*") public class FrameConfig implements Filter {public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {//必須HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) res;//實際設置response.setHeader("X-Frame-Options", "SAMEORIGIN"); // response.setHeader("X-Frame-Options", "DENY");//調用下一個過濾器(這是過濾器工作原理,不用動)chain.doFilter(request, response);}public void init(FilterConfig config) throws ServletException {}public void destroy() {} } 新人創作打卡挑戰賽發博客就能抽獎!定制產品紅包拿不停!總結
以上是生活随笔為你收集整理的http响应头中X-Frame-Options的作用及危害的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Tarjan算法 (强联通分量 割点 割
- 下一篇: net use命令详解