防止点击劫持(Clickjacking)的方法
1.在服务器端设置 X-FRAME-OPTIONS
如果你使用的是Apache服务器,请参考以下设定方法:
如果你使用的是IIS浏览器,请参照以下设定方法:
打开因特网服务管理器(InternetServiceManager),点击HTTP Headers标签,在自定义Header中点击添加按钮。在弹出筐的Header名中输入”X-Frame-Options”,在值中输入”DENY” 或者”SAMEORIGIN”. 点击确定。 注: 设置”DENY”参数,浏览器会拒绝一切包含iFrame/Frame对网页的访问。(包括你自己的网站也不能使用iFrame/Frame) 设置”SAMEORIGIN”参数,则浏览器会拒绝 访问源 与 iFrame/Frame中包含的网页源 不同时的请求。 1.3.4 IIS 配置 X-Frame-Options在 web 站点的 web.config 中配置: <system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> ... </system.webServer> 2.在网页上添加防止加载iFrame的Javascript代码
此方法适用于不支持X-FRAME-OPTIONS的版本较老的浏览器。 <</span>script> try { top.document.domain } catch (e) { var f = function() { document.body.innerHTML = ”; } setInterval(f, 1); if (document.body) document.body.onload = f; } </</span>script> |
|
来自: weiledream > 《我的图书馆》