add_header X-Frame-Options ALLOW-FROM命令无效
时间: 2023-11-21 20:45:03 浏览: 56
根据提供的引用内容,"add_header X-Frame-Options ALLOW-FROM"命令在某些浏览器中已经被废弃,因此可能无效。相反,可以使用"add_header X-Frame-Options ALLOWALL"命令来允许所有域名的iframe。另外,根据引用所述,配置修改后需要重启Apache服务才能生效。
相关问题
add_header X-Frame-Options设置多个
根据提供的引用内容,可以使用多个`add_header`指令来设置多个`X-Frame-Options`响应头。每个`add_header`指令都可以设置一个不同的`X-Frame-Options`值。
以下是一个示例配置,演示了如何设置多个`X-Frame-Options`值:
```shell
http {
server {
location / {
add_header X-Frame-Options SAMEORIGIN;
add_header X-Frame-Options DENY;
add_header X-Frame-Options ALLOW-FROM https://example.com;
}
}
}
```
在上述示例中,我们在`location`块中使用了三个`add_header`指令来设置三个不同的`X-Options`值。分别是`SAMEORIGIN`、`DENY`和`ALLOW-FROM https://example.com`。
请注意,这只是一个示例配置,您可以根据您的需求自由设置多个`X-Frame-Options`值。
add_header X-Frame-Options
add_header X-Frame-Options是一个HTTP响应头,用于示浏览器是否允许将当前页面嵌入到iframe或frame中。它可以用来防止点击劫持攻击,即通过将恶意网页嵌入到iframe中来欺骗用户点击。
X-Frame-Options有三个可选值:
1. DENY:表示页面不允许被嵌入到任何iframe中。
2. SAMEORIGIN:表示页面只能被同源域名下的iframe嵌入。
3. ALLOW-FROM uri:表示页面只能被指定的uri所在的iframe嵌入。
使用add_header指令可以在Nginx或Apache等Web服务器的配置文件中设置X-Frame-Options头。例如,在Nginx中可以这样配置:
```
location / {
add_header X-Frame-Options SAMEORIGIN;
}
```
这样配置后,浏览器在加载该页面时会检查X-Frame-Options头,如果设置为SAMEORIGIN,则只允许同源域名下的iframe嵌入该页面。