文档章节

Http响应X-Powered-By, X-Robots-Tag,X-Frame-Options

IamOkay
 IamOkay
发布于 2014/11/07 21:48
字数 442
阅读 148
收藏 0

在Http响应中以X-开头的消息具有权威性,这些标志涉及到版权,搜索引擎Robots协议,浏览器必须执行指令。可见其具有强制性,权威性的特点。

X-Powered-By:表示版权信息。

X-Powered-By:ThinkPHP.cn

在html 元信息meta中类似于

<meta name="Copyright" Content="All Rights Reserved by ThinkPHP.cn" />
<meta name="author" content="ThinkPHP.cn" />

X-Robots-Tag

搜索引擎指令标签,类似于 robots.txt协议中的一些项,不同点是X-Robots-Tag是显示在页面中的

   http.setHeader('X-Robots-Tag','nofollow,noIndex');
<meta name="robots" content="All|None|Index|Noindex|Follow|Nofollow">
<!--注意,以上列出了一些可选值,实际操作中 需要用"逗号"隔开->
<meta name="robots" content="Noindex,Nofollow">

需要指出的是,在SEO中,为了让搜索引擎不要去权值不高的页面,需要调整超链接。

<a href="signin.php" rel="nofollow">sign in</a>

X-Frame-Options

这个是一个和iframe相关的响应信息

使用 X-Frame-Options 有三个可选的值:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:允许frame加载的页面地址

在开发中的使用

#PHP代码:
header('X-Frame-Options:Deny');
#Nginx配置:
add_header X-Frame-Options SAMEORIGIN
#Apache配置:
Header always append X-Frame-Options SAMEORIGIN

当然,这样也可以配合 Reference防止不安全外部站点的通过iframe进行XSS攻击。

使用 SAMEORIGIN的结果会导致‘

Refused to display 'http://hostname.com' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.

-------------------------------------------------------------------------------------------------------------------------

RSS源,欢迎关注

 <link rel="alternate" type="application/rss+xml" title="isOkay最新博客" href="http://my.oschina.net/ososchina/rss" />

Try doing it;

© 著作权归作者所有

共有 人打赏支持
IamOkay
粉丝 187
博文 458
码字总数 370664
作品 0
海淀
程序员
网站漏洞处理

1:点击劫持:无X-Frame-Options头信息 X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从...

xingyun2010
2017/01/22
0
0
HTTP X-Frame-Options 防止iframe内框架调用

使用X-Frame-Options 有两种可能的值: DENY :该页无法显示在一个框架中. SAMEORIGHT :页面只能显示在页面本网站的框架中. 有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设...

歪歪1993
05/28
0
0
Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER

点击劫持(clickjacking)与X-Frame-Options Header 文/玄魂 目录 前言... 1.1 点击劫持(clickjacking attacks)... 1.2 Frame Bursters. 1.3 The X-Frame-Options. 1.3.1 X-Frame-Options.......

zting科技
2017/01/11
0
0
BitNami GitLab 代码库 中的图片无法预览

BitNami GitLab 代码库 中的图片无法预览 Request URL: http://192.168.3.188/git/B/raw/3de9643d8dbd34befa22c49800cfed2911265402/logo.png Request Method: GET Status Code: 200 OK (fro......

水煮你
2016/06/23
631
2
Web应用安全之Response Header里的敏感信息

Web应用安全之Response Header 文/玄魂 目录 Web应用安全之Response Header 前言 1.1 那些敏感的header 1.2 删除敏感的header 1.2.1 删除server字段 1.2.2 删除X-Powered-By字段 1.2.3 删除 ...

zting科技
2017/01/11
0
0

没有更多内容

加载失败,请刷新页面

加载更多

74.expect脚本同步文件以及指定host同步文件 构建分发系统文件和命令

20.31 expect脚本同步文件: 在expect脚本中去实现在一台机器上把文件同步到另外一台机器上去。核心命令用的是rsync ~1.自动同步文件 #!/usr/bin/expect set passwd "123456" spawn rsync -a...

王鑫linux
25分钟前
0
0
TypeScript项目引用(project references)

转发 TypeScript项目引用(project references) TypeScript新特性之项目引用(project references) 项目引用是TypeScript 3.0中的一项新功能,允许您将TypeScript程序构建为更小的部分。 通过这...

durban
29分钟前
0
0
爬虫入门

导读 网络爬虫(Web crawler),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本,它们被广泛用于互联网搜索引擎或其他类似网站,可以自动采集所有其能够访问到的页面内容,以获取...

问题终结者
29分钟前
0
0
ppwjs之bootstrap文字排版:无序列表项不换行

<!DOCTYPT html><html><head><meta http-equiv="content-type" content="text/html; charset=utf-8" /><title>ppwjs欢迎您</title><link rel="icon" href="/favicon.ico" ......

ppwjs
36分钟前
0
0
SpringBoot 学习一

本文将从以下几个方面介绍: 前言 HelloWorld 读取配置文件 例子(CURD) 前言 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架...

tsmyk0715
36分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部