问:网站需要通过iframe嵌入平台,当前网站嵌入提示网站禁止跨域访问,需要开通X-Frame-Options权限允许跨域访问,麻烦看看怎么处理 ,网站需要通过iframe嵌入平台,当前网站嵌入提示网站禁止跨域访问,需要开通X-Frame-Options权限允许跨域访问
答:您好,
查看该服务器使用的宝塔面板,如果之前是使用宝塔面板搭建的站点,若是使用的nginx做web服务器,可以登录宝塔面板,在对应站点配置文件的server { } 中添加一行规则
add_header X-Frame-Options "ALLOW-FROM ******.com"; ******.com表示允许iframe的域名,您要根据实际填写;
如果要允许所有域名iframe引用,则可以使用以下规则;
add_header X-Frame-Options ALLOWALL;非常感谢您长期对我司的支持!
问:这样就可以了吗?
答:您好, 若需要别的站点 iframe 引用您站点的信息 ,此处应该填写对方域名 ,
若您的站点需要 iframe 引用别的站点信息,需要在对方站点上设置允许你的域名 ,或允许所有域名iframe 嵌套
非常感谢您长期对我司的支持,谢谢!
问:直接留这个可以吧?
答:您好, 可以 ,这表示其他的所有站点均可以嵌套此网站 ,
add_header X-Frame-Options ALLOWALL;
非常感谢您长期对我司的支持,谢谢!
问:http://www.onewso.cn/vip/wanchengzhineng/还是不可以么,看看怎么设置,是这里设置吗?
答:您好,您可参照下面设置下试试,如还不正常,请联系www.1city.cn网站开发人员协助检查,非常感谢您长期对我司的支持!谢谢!
一些较旧的浏览器不支持内容安全策略,因此正确的语法是
add_header X-Frame-Options "ALLOW-FROM www.onewso.cn";
新版本的浏览器支持内容安全策略
add_header Content- "frame-ancestors www.onewso.cn";
问:好了,域名填错了
答:您好,感谢您的反馈,本工单已完结,如有其他问题,请提交新工单反馈,非常感谢您长期对我司的支持!谢谢!
问:发现时间:
漏洞类型:
跨站脚本攻击(XSS)
所属建站程序:
其他
所属服务器类型:
通用
所属编程语言:
其他
描述:
目标服务器没有返回一个X-Frame-Options头。
展开
危害:
攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
解决方案:
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
也可在代码中加入,在PHP中加入:
header('X-Frame-Options: deny');
答:您好,查看您是linux系统,可在.htaccess 参照
http://www.360doc.com/content/14/1024/11/_.shtml 设置即可,当前已经为您设置,非常感谢您长期对我司的支持!
