転送:https://blog.csdn.net/u013310119/article/details/81064943
プロジェクトが検出され、安全性報告されている場合、不足している問題について、「X-フレーム・オプション」の応答があり、次のように、ディスプレイは、クロスフレームスクリプティング攻撃を引き起こすことがあります。
お問い合わせの際に見つかりました。
X-フレーム・オプション:3値は以下のとおりです。
DENY(1):ページがフレーム内に許可しないことを示しているが、ネストされたページであっても同じドメインに許可されていません。
(2)SAMEORIGIN:ページは、ページのフレーム内に同じドメイン名を表示することができていることを示しています。
(3)は、ALLOW-FROM https://example.com/:ページが指定されたソース内のフレーム内に表示することができることを示しています。
現在使用されてソリューション:
1、Apacheを設定:
(もしそうなら、それは局所的にhttpd.confの内部に配置されている、Linuxは(Ubuntuのいずれか)apache2.confにある場合)、空の位置を見つけます。加入这行代码,具体看你是选择哪种
<span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGIN</span>
あなたは私が終わった後は、サーバーのApacheの設定というような状況が発生したが、Apacheを再起動しようとすると、エラーを報告したことがあります。
無効なコマンド「ヘッダ」、おそらくサーバ構成に含まれていないモジュールによって、スペルミス、または定義
ヘッダメソッドモジュールがインストールされていない、我々はそれを自分でインストールする必要があります。
a2enmodヒードを入力するには、あなたは、サービスapache2の再起動を入力して、Apacheの再起動する必要があります
2、nginxのを設定します。
「HTTP」、「サーバ」または「場所」構成に次の行を追加し、応答してnginxの透過X枠-オプションヘッダを構成します。
<span style="font-size:14px;">add_header X-Frame-Options SAMEORIGIN;</span>
3、配置IIS:
配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
<system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> ... </system.webServer>
4、在服务端设置的方式如下:
Java代码:
response.addHeader("x-frame-options","SAMEORIGIN");