Egg中的安全防范：EGG框架中修改X-Frame-Options配置，修改iframe中使用的规则

在EGG的配置文件config.default.js中

    const config = exports = {
        security: {
            xframe: {
                enable: true,
                // 'SAMEORIGIN', 'DENY' or 'ALLOW-FROM http://example.jp'
                value: 'ALLOW-FROM http://cnblogs.com/',
            }
        },
        //header: 'x-frame-options: ALLOWALL'
    };

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。
egg-security提供了xframe的选项，默认是SAMEORIGIN,只允许同域把本页面当作 iframe 嵌入。

通过内嵌 iframe 到被攻击的网页中，攻击者可以引导用户去点击 iframe 指向的危险网站，甚至遮盖，影响网站的正常功能，劫持用户的点击操作。

框架提供了 X-Frame-Options 这个安全头来防止 iframe 钓鱼。默认值为 SAMEORIGIN，只允许同域把本页面当作 iframe 嵌入。

当需要嵌入一些可信的第三方网页时，可以关闭这个配置。

引用：https://segmentfault.com/a/1190000020505441

posted @ 2022-03-18 16:03 幻河阅读(692) 评论(0) 编辑收藏举报

刷新页面返回顶部

幻河

X.M. and D.S.

Egg中的安全防范：EGG框架中修改X-Frame-Options配置，修改iframe中使用的规则

公告