也许是在进行安全渗透测试后才引起您的注意,也许是为了防止某些人劫持您的网站或在网站上覆盖广告。无论如何,X-Frame-Options 标头都是一个很好的标头,应始终包含在网站响应中,以提高网站的安全性,并为访问者提供一定的安全保障。
该标题向浏览器说明如何在框架(或 iFrame)内显示您的网站。框架允许一个网页在其中显示另一个网站的内容(通常是以一种对浏览者来说并不明显的方式)。你可能认为这不是个问题,毕竟这是一个公共网页,但事实并非如此简单。如果有人注册了您域名的常见拼写错误,并使用 iFrame 在上面显示您的网站,那该怎么办?他们可以叠加广告或显示虚假登录页面,而这一切看起来都是完全真实的,因为,这就是你的网站内容–只是从其他地方提供的。没有比恶意行为者滥用这一功能更快失去客户信任的了。框架有其真正的用途,但很可能没有一种用途是您所依赖的。
在所有回复中设置 X-Frame-Options 标头是防止出现此类问题的简单方法。有三种可能的值:DENY(拒绝)、SAMEORIGIN(相同来源)和 ALLOWFROM(允许访问);
-DENY 将阻止在框架中显示网站内容,甚至是网站上的其他页面。这样做通常没有问题,但会破坏基于 Java 的应用程序。
-SAMEORIGIN是最常用的设置,表示网站上的页面可以包含在框架中,但只能包含在同一网站的其他页面上。
-ALLOWFROM “功能比较细化,很少使用–如果你需要它,你可能知道你需要做什么–如果不知道,请给我们打电话。
正如我们常说的那样,使用负载平衡器的一个强大优势是,我们只需在一个地方进行更改,就能将这个头部署到我们所有的服务器上。我们无需依赖开发人员或 Apache 重新配置。只需导入 jetPACK 配置模板,并将 flightPATH 流量规则分配给希望保护的虚拟服务即可。
flightPATH 是 edgeNEXUS 开发的基于事件的动态规则引擎,可智能地处理和路由负载平衡的 IP、HTTP 和 HTTPS 流量。它具有高度可配置性,功能强大,而且非常易于使用。
该规则只在页眉不存在的情况下添加页眉,因此即使我们的网络服务器已经插入页眉或只在特定页面插入页眉,它也能正常工作。该规则应成为标准虚拟服务配置的一部分–无论网站如何,你都不会有任何损失,当然,我们始终建议进行测试。您可以在 edgeNEXUS Github 站点下载 jetPACK。
这是我们开发的众多 flightPATH 规则之一,您可以通过部署这些规则来提高网站和用户的安全性。有关安全相关 HTTP 标头的更多信息,请查看这些文章:
