add_header X-Frame-Options ALLOW-FROM命令无效
时间: 2023-11-21 11:45:03 浏览: 242
根据提供的引用内容,"add_header X-Frame-Options ALLOW-FROM"命令在某些浏览器中已经被废弃,因此可能无效。相反,可以使用"add_header X-Frame-Options ALLOWALL"命令来允许所有域名的iframe。另外,根据引用所述,配置修改后需要重启Apache服务才能生效。
相关问题
add_header X-Frame-Options 配置allow from
`add_header X-Frame-Options allow-from` 是一个HTTP头设置,用于控制网页是否允许被嵌入到其他网站(iframe)中。`X-Frame-Options` 是一种跨站请求伪造(Cross-Site Request Forgery, CSRF)防御机制,特别是针对点击劫持(Clickjacking)的防护。
当设置为 `allow-from`,它告诉浏览器允许指定的源(通常是当前域名或特定URL)加载页面。如果设置为 `SAMEORIGIN`(默认),则只有同源的页面可以嵌套,而 `deny` 则完全阻止页面被嵌入。
例如,如果你有一个名为 `example.com` 的网站,并希望允许从 `example.com` 自身以及 `www.example.com` 嵌入内容,你可以这样配置:
```http
add_header X-Frame-Options "ALLOW-FROM https://example.com https://www.example.com";
```
这会允许这两个源的页面使用 `example.com` 的资源,但仍然会对其他来源的嵌入请求保持限制。
add_header X-Frame-Options
add_header X-Frame-Options是一个HTTP响应头,用于示浏览器是否允许将当前页面嵌入到iframe或frame中。它可以用来防止点击劫持攻击,即通过将恶意网页嵌入到iframe中来欺骗用户点击。
X-Frame-Options有三个可选值:
1. DENY:表示页面不允许被嵌入到任何iframe中。
2. SAMEORIGIN:表示页面只能被同源域名下的iframe嵌入。
3. ALLOW-FROM uri:表示页面只能被指定的uri所在的iframe嵌入。
使用add_header指令可以在Nginx或Apache等Web服务器的配置文件中设置X-Frame-Options头。例如,在Nginx中可以这样配置:
```
location / {
add_header X-Frame-Options SAMEORIGIN;
}
```
这样配置后,浏览器在加载该页面时会检查X-Frame-Options头,如果设置为SAMEORIGIN,则只允许同源域名下的iframe嵌入该页面。
阅读全文