我托管了一个使用 Wordpress 创建的网站。
我收到一条安全警报,上面写着 "X-Frame-Options Header Not Set",但我不知道这意味着什么。
谁能解释这个警告是关于什么的,并给我一个关于如何阻止它发生的解决方案?
【问题讨论】:
标签: php wordpress security x-frame-options
这里有一个更容易设置X-Frame-Options SAMEORIGIN 的方法,将以下内容添加到当前 Wordpress 主题中的 functions.php 文件中:
add_action( 'send_headers', 'send_frame_options_header', 10, 0 );
【讨论】:
选项 1:转到 wordpress-root/wp-includes/functions.php 并搜索“X-Frame-Options”,您将找到该功能
function send_frame_options_header() {
@header( 'X-Frame-Options: SAMEORIGIN' );
}
如果 X-Frame-Options 未在您的 functions.php 文件中定义,您只需将代码粘贴到 functions.php 中。 要防止站点在 Wordpress 中跨框架脚本,请使用 X-Frame-Options 到 SAMEORIGIN。
选项 2:
或者您可以从位于 wordpress 根文件夹内的 .htaccess 文件中设置 X-Frame-Options。只需将以下代码粘贴到 .htaccess 文件中即可。
Header set X-Frame-Options SAMEORIGIN
【讨论】:
在任何 PHP 应用程序中,可以在发送页面内容之前设置标题。这是使用 header 函数完成的。
header('X-Frame-Options: SAMEORIGIN');
【讨论】: