web安全:x-frame-options(防止网页被嵌套)头配置
转自:https://blog.csdn.net/TivonaLH/article/details/86307278
1.写一个过滤器
public class RequestFilter implements Filter {
private final static Logger log=Logger.getLogger("RequestFilter");
@Override
public void destroy() {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
// TODO Auto-generated method stub
HttpServletRequest req=(HttpServletRequest)request;
HttpServletResponse res=(HttpServletResponse)response;
String method = req.getMethod();
res.setHeader("x-frame-options", "SAMEORIGIN"); //
//执行下一个过滤器
chain.doFilter(request, response);
}
@Override
public void init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub
}
}
2.项目中web.xml配置过滤器
<filter>
<filter-name>RequestFilter</filter-name>
<filter-class>com.jz.fw_easyui.ss.filter.RequestFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>RequestFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3.x-frame-options默认有三个值
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM
表示该页面可以在指定来源的 frame 中展示,即可以显示出URL
换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。
web安全:x-frame-options(防止网页被嵌套)头配置相关推荐
- vb.net图书管理系统VS开发sqlserver数据库web结构vb编程源码网页
一.源码特点 vb.net 图书管理系统 是一套完善的web设计管理系统,系统具有完整的源代码和数据库,系统主要采用B/S模式开发. 下载地址: vb.net图书管理系统VS开发sql ...
- Web设计前沿:CSS3 在网页设计中的20个惊艳应用
作为 CSS 的下一个版本,CSS3 给 Web 开发带来了革命性的影响.例如,以前很多需要图片呈现的界面效果,现在使用 CSS3 结合 HTML 就可以实现,CSS3 甚至还可以实现需要 JavaS ...
- web前端大三实训网页设计:餐饮网站设计——烧烤美食山庄(7个页面) HTML+CSS+JavaScript
web前端大三实训网页设计:餐饮网站设计--烧烤美食山庄(7个页面) HTML+CSS+JavaScript 临近期末, 你还在为HTML网页设计结课作业,老师的作业要求感到头大?HTML网页作业无从 ...
- apache服务器配置响应头,Web安全 之 X-Frame-Options响应头配置
最近项目处于测试阶段,在安全报告中存在" X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图: X-Frame-Options: 值有三个: ...
- 2018.3.29 网页中嵌套网页的两种方法
第一种: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"& ...
- Nodejs实现微信网页授权及正确配置JS-SDK接口
原文链接:<Nodejs实现微信网页授权及正确配置JS-SDK接口>- 陈帅华 帅华君将在本文介绍基于Nodejs实现微信网页授权以及如何正确在前后端配置JS-SDK接口. 微信网页授权 ...
- web.py做图片上传网页
简单而直接的Python web 框架:web.py 网页界面属于前端,可以用html HTML5 上传图片文件(含拖拽.预览.上传.美化) HTML 入门笔记 - 初识HTML 如何实现一个简易的图 ...
- [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法...
使用了360网站安全检测 查到有OPTIONS方法 百度了下 https://my.oschina.net/maliang0130/blog/338725 找到这个方法奈何http.conf 找不到无 ...
- python notebook右侧网页_《Python web开发》笔记 一:网页开发基础
网页基础知识 网页的构成 网页由html.css和Javascript构成,html是框架,CSS是样式和装饰,JS则是各项功能实现.我们把网页的组成类比成一栋房子,Html相当于房子的结构,CSS相 ...
最新文章
- 【ACM】杭电OJ 2037
- 网络推广外包专员浅析为何网站网络推广外包中有排名却没有转化率
- Java实现replaceAll 把 \ 替换成 /
- 快过年了,用JS让你的网页放烟花吧
- 18大产业的产业链全景图!(高清大图)
- 基于web的大数据可视化平台
- mysql查询之左连接查询与右连接查询
- 全球及中国SAS-RAID控制器行业十四五展望规划及发展决策建议报告2021年版
- 父债子偿有法可依吗?可法院却对这个案子说:不!
- 合天网安实验室CTF-Steg150-一段欢快的曲调
- 分布式系统关注点——如何去实施「负载均衡」? 1
- 我的2016——程序员年到三十,工作第四年
- vue 组件自己不能删除自己,$destroy从组件树上删除+从视图上消失
- 揭秘信用卡职业养卡人:月赚两万如何办到
- error2448C语言,VS 报错 error C2448: “main”: 函数样式初始值设定项类似函数定义 问题的解决方法...
- 对项目成本和进度的监控----挣值分析
- 传统车企进军区块链,汽车行业或将迎来创新机遇 | 产业区块链发展周报
- 第168篇,中心点(扶摇生财思维)
- 国产存储芯片现状如何?
- 【Java Collections类:sort()升序排序、reverse()降序排序、copy()复制、fill()填充题】
热门文章
- 靠着游戏收入支撑打造众多口碑产品的网易,下一个20年会如何走
- html做旋转的五角星,Flash AS3代码制作旋转彩色五角星动画
- 电脑硬盘如何分区 硬盘分区方法 电脑分区
- git常用操作--分支同步master 本地库提交到远程分支
- 据说是“缓存之王”? Caffeine高性能设计剖析
- 英特尔前任 CEO 安迪·格鲁夫的传奇一生
- linux su 资源不可用,CentOS 6/Linux su: 无法设置用户ID: 资源暂时不可用
- 高通SDX12:USB2.0 端口枚举失败问题分析及解决方案
- maya 白天室内灯光_Maya Vray室内灯光渲染教程
- 解决安装office2016后文件图标显示空白图标