Egg中的安全防范:EGG框架中修改X-Frame-Options配置,修改iframe中使用的规则

在EGG的配置文件config.default.js中

    const config = exports = {
        security: {
            xframe: {
                enable: true,
                // 'SAMEORIGIN', 'DENY' or 'ALLOW-FROM http://example.jp'
                value: 'ALLOW-FROM http://cnblogs.com/',
            }
        },
        //header: 'x-frame-options: ALLOWALL'
    };

 

X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。
egg-security提供了xframe的选项,默认是SAMEORIGIN,只允许同域把本页面当作 iframe 嵌入。

 

通过内嵌 iframe 到被攻击的网页中,攻击者可以引导用户去点击 iframe 指向的危险网站,甚至遮盖,影响网站的正常功能,劫持用户的点击操作。

框架提供了 X-Frame-Options 这个安全头来防止 iframe 钓鱼。默认值为 SAMEORIGIN,只允许同域把本页面当作 iframe 嵌入。

当需要嵌入一些可信的第三方网页时,可以关闭这个配置。

 

引用:https://segmentfault.com/a/1190000020505441

 

posted @ 2022-03-18 16:03  幻河  阅读(705)  评论(0编辑  收藏  举报