我尝试将X-FRAME-OPTIONS放在http标头中,以防止Clickjacking攻击。如果像这样在httpd.conf或.htaccess文件中设置标题,它就可以工作。
Header set X-Frame-Options SAMEORIGIN
但是在我自己的网站上有很多地方使用iFrame,如果这样做,它也会阻止我自己的网站上的iFrame。因此,我尝试为自己的网站添加例外。检查请求是否来自我自己的网站,然后在页面上允许使用iFrame。我试过了,但是没用。
SetEnvIf Host http://myownwebsite\.com iframes_are_cool
Header set X-Frame-Options SAMEORIGIN env=!iframes_are_cool
有人可以帮我吗?
SetEnvIf不是那么灵活,因此我建议仅使用//部分。尝试以下方法:
<If "! %{HOST} =~ /http://myownwebsite\.com/">
Header set X-Frame-Options SAMEORIGIN
</If>