當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

http响应头中X-Frame-Options的作用及危害

發布時間：2025/3/15 编程问答 17 豆豆

生活随笔收集整理的這篇文章主要介紹了 http响应头中X-Frame-Options的作用及危害小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

目標服務器沒有返回一個X-Frame-Options頭。

攻擊者可以使用一個透明的、不可見的iframe，覆蓋在目標網頁上，然后誘使用戶在該網頁上進行操作，此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置，可以誘使用戶恰好點擊iframe頁面的一些功能性按鈕上，導致被劫持。

添加X-frame-options響應頭。

賦值有如下三種：

（1）DENY：不能被嵌入到任何iframe或frame中。

（2）SAMEORIGIN：頁面只能被本站頁面嵌入到iframe或者frame中。

（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

我用的是攔截器

import javax.servlet.*; import java.io.IOException; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse;/*** 攔截器-配置響應頭部 X-Frame-Options* @author potato* @date 2021/9/8 11:04*/ @WebFilter(filterName = "frameFilter", urlPatterns = "/*") public class FrameConfig implements Filter {public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {//必須HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) res;//實際設置response.setHeader("X-Frame-Options", "SAMEORIGIN"); // response.setHeader("X-Frame-Options", "DENY");//調用下一個過濾器（這是過濾器工作原理，不用動）chain.doFilter(request, response);}public void init(FilterConfig config) throws ServletException {}public void destroy() {} } 新人創作打卡挑戰賽發博客就能抽獎！定制產品紅包拿不停！

總結

以上是生活随笔為你收集整理的http响应头中X-Frame-Options的作用及危害的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： Tarjan算法（强联通分量割点割
下一篇： net use命令详解