Kangle防止网站资源被第三方站点框架内嵌
为了防止Clickjacking点击劫持,我们可以在Kangle中增加X-Frame-Options头部来限制网页被其他站点内嵌。具体操作步骤如下:
回应控制设置:
在回应控制的add_header标记模块中,为X-Frame-Options添加值为SAMEORIGIN的头部。这样可以让页面在相同域名下才能被内嵌,从而防止被第三方站点框架内嵌。
如果命中了该设置,说明成功添加了头部,可以有效地防止网站资源被第三方站点框架内嵌。
注意:
X-Frame-Options头部是用来规定网页是否可以被其他站点内嵌的,SAMEORIGIN表示只允许同源站点内嵌。如果需要允许特定的站点内嵌,可以使用ALLOW-FROM参数设置。
欢迎指出任何有错误或不够清晰的表达,可以在下面评论区评论。
