文档章节

Http响应X-Powered-By, X-Robots-Tag,X-Frame-Options

IamOkay
 IamOkay
发布于 2014/11/07 21:48
字数 442
阅读 148
收藏 0
点赞 0
评论 0

在Http响应中以X-开头的消息具有权威性,这些标志涉及到版权,搜索引擎Robots协议,浏览器必须执行指令。可见其具有强制性,权威性的特点。

X-Powered-By:表示版权信息。

X-Powered-By:ThinkPHP.cn

在html 元信息meta中类似于

<meta name="Copyright" Content="All Rights Reserved by ThinkPHP.cn" />
<meta name="author" content="ThinkPHP.cn" />

X-Robots-Tag

搜索引擎指令标签,类似于 robots.txt协议中的一些项,不同点是X-Robots-Tag是显示在页面中的

   http.setHeader('X-Robots-Tag','nofollow,noIndex');
<meta name="robots" content="All|None|Index|Noindex|Follow|Nofollow">
<!--注意,以上列出了一些可选值,实际操作中 需要用"逗号"隔开->
<meta name="robots" content="Noindex,Nofollow">

需要指出的是,在SEO中,为了让搜索引擎不要去权值不高的页面,需要调整超链接。

<a href="signin.php" rel="nofollow">sign in</a>

X-Frame-Options

这个是一个和iframe相关的响应信息

使用 X-Frame-Options 有三个可选的值:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:允许frame加载的页面地址

在开发中的使用

#PHP代码:
header('X-Frame-Options:Deny');
#Nginx配置:
add_header X-Frame-Options SAMEORIGIN
#Apache配置:
Header always append X-Frame-Options SAMEORIGIN

当然,这样也可以配合 Reference防止不安全外部站点的通过iframe进行XSS攻击。

使用 SAMEORIGIN的结果会导致‘

Refused to display 'http://hostname.com' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.

-------------------------------------------------------------------------------------------------------------------------

RSS源,欢迎关注

 <link rel="alternate" type="application/rss+xml" title="isOkay最新博客" href="http://my.oschina.net/ososchina/rss" />

Try doing it;

© 著作权归作者所有

共有 人打赏支持
IamOkay
粉丝 187
博文 450
码字总数 368039
作品 0
海淀
程序员
网站漏洞处理

1:点击劫持:无X-Frame-Options头信息 X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从...

xingyun2010 ⋅ 2017/01/22 ⋅ 0

HTTP X-Frame-Options 防止iframe内框架调用

使用X-Frame-Options 有两种可能的值: DENY :该页无法显示在一个框架中. SAMEORIGHT :页面只能显示在页面本网站的框架中. 有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设...

歪歪1993 ⋅ 05/28 ⋅ 0

Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER

点击劫持(clickjacking)与X-Frame-Options Header 文/玄魂 目录 前言... 1.1 点击劫持(clickjacking attacks)... 1.2 Frame Bursters. 1.3 The X-Frame-Options. 1.3.1 X-Frame-Options.......

zting科技 ⋅ 2017/01/11 ⋅ 0

BitNami GitLab 代码库 中的图片无法预览

BitNami GitLab 代码库 中的图片无法预览 Request URL: http://192.168.3.188/git/B/raw/3de9643d8dbd34befa22c49800cfed2911265402/logo.png Request Method: GET Status Code: 200 OK (fro......

水煮你 ⋅ 2016/06/23 ⋅ 2

Web应用安全之Response Header里的敏感信息

Web应用安全之Response Header 文/玄魂 目录 Web应用安全之Response Header 前言 1.1 那些敏感的header 1.2 删除敏感的header 1.2.1 删除server字段 1.2.2 删除X-Powered-By字段 1.2.3 删除 ...

zting科技 ⋅ 2017/01/11 ⋅ 0

HTTP Header 属性列表

HTTP header中包含HTTP请求与响应的操作参数. header属性定义了所传输数据的各种特性. header属性以属性名开始,以冒号结尾,最后是属性值.属性名及值会因应用的不同,而有所不同,但IETF(Intern...

VictorLi ⋅ 2010/12/12 ⋅ 1

ueditor上传图片报'X-Frame-Options' to 'DENY'

最近升级spring-security4,使用ueditor上传图片报出如下问题,页面上图片显示为红叉 在如下链接有对X-Frame-Options的详细描述,大家可以参考一下:https://developer.mozilla.org/zh-CN/d...

一路向北的兔斯基 ⋅ 2015/10/21 ⋅ 2

HTTP 206 获取文件部分内容和范围请求

HTTP 2xx 范围内的状态码表明了“客户端发送的请求已经被服务器接受并且被成功处理了”。 HTTP/1.1 200 OK 是 HTTP 请求成功后的标准响应,当你在浏览器中打开某个网站后,你通常会得到一个 ...

崔庆才 ⋅ 2017/09/15 ⋅ 0

Spring Security 学习总结(2)

从一个最简单的Spring Security Java Configuration 看起 configGlobal 这个名字不重要,重要的是在一个注解了 @EnableWebSecurity 或@EnableWebMvcSecurity或 @EnableGlobalMethodSecurity ......

平江夜弹 ⋅ 2015/06/01 ⋅ 0

聊聊spring cloud gateway的SecureHeadersGatewayFilter

序 本文主要研究下spring cloud gateway的SecureHeadersGatewayFilter GatewayAutoConfiguration SecureHeadersProperties 配置项 实体类 spring-cloud-gateway-core-2.0.0.RC1-sources.jar!......

go4it ⋅ 06/04 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

MyBatis四大核心概念

本文讲解 MyBatis 四大核心概念(SqlSessionFactoryBuilder、SqlSessionFactory、SqlSession、Mapper)。 MyBatis 作为互联网数据库映射工具界的“上古神器”,训有四大“神兽”,谓之:Sql...

waylau ⋅ 29分钟前 ⋅ 0

以太坊java开发包web3j简介

web3j(org.web3j)是Java版本的以太坊JSON RPC接口协议封装实现,如果需要将你的Java应用或安卓应用接入以太坊,或者希望用java开发一个钱包应用,那么用web3j就对了。 web3j的功能相当完整...

汇智网教程 ⋅ 43分钟前 ⋅ 0

2个线程交替打印100以内的数字

重点提示: 线程的本质上只是一个壳子,真正的逻辑其实在“竞态条件”中。 举个例子,比如本题中的打印,那么在竞态条件中,我只需要一个方法即可; 假如我的需求是2个线程,一个+1,一个-1,...

Germmy ⋅ 55分钟前 ⋅ 0

Springboot2 之 Spring Data Redis 实现消息队列——发布/订阅模式

一般来说,消息队列有两种场景,一种是发布者订阅者模式,一种是生产者消费者模式,这里利用redis消息“发布/订阅”来简单实现订阅者模式。 实现之前先过过 redis 发布订阅的一些基础概念和操...

Simonton ⋅ 今天 ⋅ 0

error:Could not find gradle

一.更新Android Studio后打开Project,报如下错误: Error: Could not find com.android.tools.build:gradle:2.2.1. Searched in the following locations: file:/D:/software/android/andro......

Yao--靠自己 ⋅ 昨天 ⋅ 0

Spring boot 项目打包及引入本地jar包

Spring Boot 项目打包以及引入本地Jar包 [TOC] 上篇文章提到 Maven 项目添加本地jar包的三种方式 ,本篇文章记录下在实际项目中的应用。 spring boot 打包方式 我们知道,传统应用可以将程序...

Os_yxguang ⋅ 昨天 ⋅ 0

常见数据结构(二)-树(二叉树,红黑树,B树)

本文介绍数据结构中几种常见的树:二分查找树,2-3树,红黑树,B树 写在前面 本文所有图片均截图自coursera上普林斯顿的课程《Algorithms, Part I》中的Slides 相关命题的证明可参考《算法(第...

浮躁的码农 ⋅ 昨天 ⋅ 0

android -------- 混淆打包报错 (warning - InnerClass ...)

最近做Android混淆打包遇到一些问题,Android Sdutio 3.1 版本打包的 错误如下: Android studio warning - InnerClass annotations are missing corresponding EnclosingMember annotation......

切切歆语 ⋅ 昨天 ⋅ 0

eclipse酷炫大法之设置主题、皮肤

eclipse酷炫大法 目前两款不错的eclipse 1.系统设置 Window->Preferences->General->Appearance 2.Eclipse Marketplace下载【推荐】 Help->Eclipse Marketplace->搜索‘theme’进行安装 比如......

anlve ⋅ 昨天 ⋅ 0

vim编辑模式、vim命令模式、vim实践

vim编辑模式 编辑模式用来输入或修改文本内容,编辑模式除了Esc外其他键几乎都是输入 如何进入编辑模式 一般模式输入以下按键,均可进入编辑模式,左下角提示 insert(中文为插入) 字样 i ...

蛋黄Yolks ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部