1
我注意到至少有一个网站在iframe中包含我的网站,我很好奇禁止这种行为的最佳方法。有没有办法设置iframe黑名单?
我已经加入了一些Javascript,如果一个网站正在构建我的网站,那么我应该可以拿起一些Javascript来生成我想阻止的网站列表。但是,有些网站我不想拒绝iframing。
是否有可能通过IIS(7)查看站点列表,并且如果请求来自该列表中的站点,以某种方式失败或阻止请求?
谢谢!
A
回答
1
使用X-Frame-Options: deny HTTP标头可阻止任何来自的人访问您的网站。如果您希望能够您自己的网站,但阻止他人这样做,只需使用
X-Frame-Options: sameorigin。
More reading on X-Frame-Options over at MDN.
边注:一般黑名单不适用于保障工作。 白名单是正确的方法。
的允许,从只允许一个单一的URI,这意味着如果我使用Facebook URI它会杀死我的图片上传,如果我使用SAMEORIGIN图像上传(以及任何我自己的iframes)会起作用,但它会杀死Facebook。你知道是否有任何形式的Allow-From和Sameorigin的组合,以便它们都被强制执行?
This is not possible given the current spec.你可以,但是,使用2个不同的网址提供相同的内容:一个是在Facebook的iframing(发送allow-from),一个为自己的I帧(发送sameorigin)。不是很好,但总比没有好。
相关问题
- 1. 有没有办法设置黑莓的背景颜色?
- 2. 有没有办法来设置开发
- 3. 有没有办法设置HttpResponse?
- 4. 有没有办法恢复VS2010设置?
- 5. 有没有办法改变url是iframe?
- 6. 有没有办法设置Sytem.Threading.Task的名字?
- 7. 有没有办法为UITabBar设置一个单独的简称?
- 8. 有没有办法从didSelectRowAtIndexPath设置单元格内容和imagaView?
- 9. 有没有办法用单个请求加载多个iframe?
- 10. 有没有办法为Android设备设置初始方向
- 11. 有没有办法在Nginx配置里设置一个变量?
- 12. 有没有办法在DataSource配置中设置时区为UTC
- 13. 有没有办法在excel表单中设置开始查看位置?
- 14. 有没有办法设置Python的所有文件的编码
- 15. 有没有办法做一个“无法检测的,iframe代码”
- 16. 有没有办法让配置“递归”?
- 17. 黑莓MainScreen上设置没有滚动
- 18. 有没有办法简单了解NSArray?
- 19. 有没有办法在winform datetimepicker中手动设置日期和月份名称?
- 20. 有没有办法在django模板中使用变量设置块的名称?
- 21. 有没有办法为grails配置一个包名config.groovy
- 22. 有没有办法从位置(x,y线)找到div名称
- 23. 有没有办法确保不使用隐式文化设置?
- 24. 有没有办法设置远程特定的.gitignores?
- 25. 有没有办法在Jekyll网站上为Collections设置分页?
- 26. 有没有办法为ggsave设置新的默认值?
- 27. 有没有办法将System.Windows.Controls.SplashScreen设置为System.Windows.Window
- 28. 有没有办法来设置HideSurroundingHtml值ASP.MVC 2
- 29. 有没有办法设置发布参数?
- 30. 有没有办法在Reportlab中设置字体大小?
我试着将X-Frame-Options设置为'拒绝',但它关闭了所有的iframe(这是预期的)。我有我的网站上的iframe页面,我需要保持可用的Facebook页面。该设置也与我的图像上传脚本混淆,它会执行一些奇怪的iframe操作。 – jmastic 2013-03-11 17:59:46
虽然我同意使用白名单方式。如果可能的话,这可能是更好的方法。 – jmastic 2013-03-11 18:00:10
好的,请使用'allow-from:'。 –
2013-03-11 18:00:36