【发布时间】:2015-02-23 16:53:51
【问题描述】:
我正在尝试防止不使用任何 iframe 的应用程序的点击劫持。在阅读时,我了解到 X-Frame-Options 应设置为拒绝。但是,我不知道该怎么做?
是否应该创建过滤器?还是在 javscript 中完成? ] 这个应用程序有几个控制器?控制器是否必须将标头添加到响应中?
【问题讨论】:
-
X-Frame-Options是 HTTP 响应标头。您可以在 Web 服务器配置或服务器端代码中设置它。问题中没有足够的关于您的系统的信息来建议您执行此操作的最佳方式。 -
抱歉没有解释清楚。我试图了解 X-Frame-Options 选项通常是如何设置的?如何通过服务器端代码进行设置。是否应该创建过滤器?在web服务器配置中怎么做?
-
"X-Frame-Options 选项通常如何设置" — 取决于服务器端环境。 “我如何通过服务器端代码做到这一点”——取决于您的服务器端环境。 Python/CGI 和 Catalyst/Plak/GCI 的工作方式不同。 “应该创建过滤器”——什么是过滤器? “如何在 web 服务器配置中完成” — 什么 web 服务器? Nginx 和 IIS 的工作方式不同。
-
抱歉,我对这个话题的了解不多。因此,我正在寻求一些帮助。我想弄清楚的是人们通常只是更新他们的网络服务器配置还是更新他们的服务器端代码。 owasp 网站说“一种可能更简单的方法是实现一个过滤器,自动将标题添加到每个页面。”。我假设这是 javax.servlet.Filter 接口,您在其中实现 doFilter。我无法在任何地方找到任何具体的例子,这就是我转向这里的原因。
-
“人们通常只是更新他们的网络服务器配置还是更新他们的服务器端代码”——取决于他们的具体情况和个人喜好。
标签: javascript http-headers clickjacking