服务器未设置X-Frame-Options响应头,易受到点击劫持攻击
入口文件增加
// 添加X-Frame-Options头
header('X-Frame-Options: SAMEORIGIN');
有三个值选择:
当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的
页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。
本站文章如未注明出处均为原创,转载请注明出处,如有侵权请邮件联系站长。