漏洞檢測提示「X-Frame-Options頭未設置」,意思是網頁可能被別人用iframe框架使用。事實上,個人網頁已經經過js程序禁止被iframe框架嵌入使用了。不過,對於使用iis的網站來講,能夠設置下iis,無需在網頁裏編寫js代碼,就能輕鬆實現網站的全部網頁禁止被iframe框架嵌入使用。本文將給你們介紹iis如何設置禁止網頁被iframe框架引用。javascript
IIS6設置禁止網頁被iframe框架引用 :java
在彈出窗口裏,自定義 HTTP 頭」輸入 X-Frame-Options ,「自定義 HTTP 頭值」輸入 SAMEORIGIN ,點擊「肯定」按鈕,就完成了設置。web
這裏解釋一下 SAMEORIGIN ,它表示該頁面能夠在相同域名頁面的 frame 中展現。框架
X-Frame-Options 有三個值:網站
DENY
表示該頁面不容許在 frame 中展現,即使是在相同域名的頁面中嵌套也不容許。spa
SAMEORIGIN
表示該頁面能夠在相同域名頁面的 frame 中展現。code
ALLOW-FROM uri
表示該頁面能夠在指定來源的 frame 中展現。uri 是網頁地址,如:http://www.webkaka.com/ip
一句話說,若是設置爲 DENY,不光在別人的網站 frame 嵌入時會沒法加載,在同域名頁面中一樣會沒法加載。另外一方面,若是設置爲 SAMEORIGIN,那麼頁面就能夠在同域名頁面的 frame 中嵌套。iframe
IIS7.5設置禁止網頁被iframe框架引用
同IIS6同樣,IIS7.5也是經過設置HTTP頭來實現。域名
進入 HTTP 響應標頭 設置界面,點擊「添加...」,而後「名稱」輸入 X-Frame-Options ,「值」輸入 SAMEORIGIN,點擊「肯定」按鈕,就完成了設置。
經過JS設置某張網頁不容許被iframe框架引用
上面的方法是對整個網站全部網頁都有效的,若是隻想某個網頁禁止被iframe框架引用,該如何處理呢?咱們能夠經過JS設置某張網頁不容許被iframe框架引用。方法其實也挺簡單,代碼以下:
- <script language="javascript">
- if(window.self != window.top){
- window.top.location.replace(window.self.location);
- }
- </script>
原理是判斷 window.self 是否等於 window.top 。