堆棧內存溢出
  簡體   English   中英

X-Frame-Options:拒絕所有域期望 web.config 中的 3 個域

[英]X-Frame-Options: Deny all domains expect 3 domains in the web.config

 原文  2022-10-10 00:51:06       reactjs/ asp.net/ web-config/ x-frame-options

問題描述

為了避免點擊劫持,我確實希望我的 web 應用程序通過 iFrame 加載。在 web.config 中添加了以下配置以限制來自除以下 3 個域之外的所有域的訪問。

<add name="X-Frame-Options" value="DENY" />
<add name="X-Frame-Options" value="ALLOW-FROM https://domain1 https://domain2 https://domain3" />

上述更改不起作用。

請告訴我正確的 X-Frame-Options 配置以拒絕 web.config 中除 3 個域之外的所有域。 謝謝

1 個解決方案

解決方案1
 0  2022-10-10 10:54:18

如您所見,對 ALLOW-FROM的支持並不廣泛。 您應該改為設置以下 header:

<add name="Content-Security-Policy" value="frame-ancestors domain1 domain2 domain3;" />

設置 Content-Security-Policy frame-ancestors 會廢棄 X-Frame-Options ,因此瀏覽器將忽略該 header 設置的任何值。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 有沒有一種方法可以渲染具有X-Frame-Options的網頁:在帶有reactjs的標題響應中拒絕 X-Frame-Options:DENY 僅適用於后端端口端點 拒絕在框架中顯示,因為它在 django 應用程序中將“X-Frame-Options”設置為“拒絕” 拒絕在框架中顯示,因為它將“X-Frame-Options”設置為“sameorigin” 在Heroku上部署React應用:&#39;X-Frame-Options錯誤 X-frame-Options Http 響應 Header 不起作用 拒絕在框架中顯示……因為它在 React 和 oAuth 中將“X-Frame-Options”設置為“相同來源” 使用 create-app 反應 js 如何在 webpack 上設置 X-FRAME-OPTIONS 有沒有辦法在 CEF Windows Chromium 桌面應用程序中避免 X-Frame-Options? env 的 next.config.js 圖像域問題
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM