使用 X-Frame-Options 防止点击劫持
Preventing Click jacking using X-Frame-Options
我正在尝试阻止不使用任何 iframe 的应用程序的点击劫持。阅读后我明白 X-Frame-Options 应该设置为拒绝。但是,我不确定该怎么做?
是否应该创建过滤器?或者它是在 javscript 中完成的? ] 这个应用程序有几个控制器?控制器是否必须将 header 添加到响应中?
X-Frame-Options 是在文档(HTML 或其他)的 HTTP 响应上设置的 HTTP Header。
由于它是由 HTTP 服务器设置的,因此它的实现高度依赖于服务器架构。它可能可以通过 content-type 进行全局设置,或者它可能需要为每个文件或路径进行特定设置。视情况而定。
我正在尝试阻止不使用任何 iframe 的应用程序的点击劫持。阅读后我明白 X-Frame-Options 应该设置为拒绝。但是,我不确定该怎么做?
是否应该创建过滤器?或者它是在 javscript 中完成的? ] 这个应用程序有几个控制器?控制器是否必须将 header 添加到响应中?
X-Frame-Options 是在文档(HTML 或其他)的 HTTP 响应上设置的 HTTP Header。
由于它是由 HTTP 服务器设置的,因此它的实现高度依赖于服务器架构。它可能可以通过 content-type 进行全局设置,或者它可能需要为每个文件或路径进行特定设置。视情况而定。