文档章节

Http响应X-Powered-By, X-Robots-Tag,X-Frame-Options

IamOkay
 IamOkay
发布于 2014/11/07 21:48
字数 442
阅读 150
收藏 0

在Http响应中以X-开头的消息具有权威性,这些标志涉及到版权,搜索引擎Robots协议,浏览器必须执行指令。可见其具有强制性,权威性的特点。

X-Powered-By:表示版权信息。

X-Powered-By:ThinkPHP.cn

在html 元信息meta中类似于

<meta name="Copyright" Content="All Rights Reserved by ThinkPHP.cn" />
<meta name="author" content="ThinkPHP.cn" />

X-Robots-Tag

搜索引擎指令标签,类似于 robots.txt协议中的一些项,不同点是X-Robots-Tag是显示在页面中的

   http.setHeader('X-Robots-Tag','nofollow,noIndex');
<meta name="robots" content="All|None|Index|Noindex|Follow|Nofollow">
<!--注意,以上列出了一些可选值,实际操作中 需要用"逗号"隔开->
<meta name="robots" content="Noindex,Nofollow">

需要指出的是,在SEO中,为了让搜索引擎不要去权值不高的页面,需要调整超链接。

<a href="signin.php" rel="nofollow">sign in</a>

X-Frame-Options

这个是一个和iframe相关的响应信息

使用 X-Frame-Options 有三个可选的值:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:允许frame加载的页面地址

在开发中的使用

#PHP代码:
header('X-Frame-Options:Deny');
#Nginx配置:
add_header X-Frame-Options SAMEORIGIN
#Apache配置:
Header always append X-Frame-Options SAMEORIGIN

当然,这样也可以配合 Reference防止不安全外部站点的通过iframe进行XSS攻击。

使用 SAMEORIGIN的结果会导致‘

Refused to display 'http://hostname.com' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.

-------------------------------------------------------------------------------------------------------------------------

RSS源,欢迎关注

 <link rel="alternate" type="application/rss+xml" title="isOkay最新博客" href="http://my.oschina.net/ososchina/rss" />

Try doing it;

© 著作权归作者所有

共有 人打赏支持
IamOkay
粉丝 190
博文 461
码字总数 373670
作品 0
海淀
程序员
私信 提问
网站漏洞处理

1:点击劫持:无X-Frame-Options头信息 X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从...

xingyun2010
2017/01/22
0
0
BitNami GitLab 代码库 中的图片无法预览

BitNami GitLab 代码库 中的图片无法预览 Request URL: http://192.168.3.188/git/B/raw/3de9643d8dbd34befa22c49800cfed2911265402/logo.png Request Method: GET Status Code: 200 OK (fro......

水煮你
2016/06/23
773
2
HTTP X-Frame-Options 防止iframe内框架调用

使用X-Frame-Options 有两种可能的值: DENY :该页无法显示在一个框架中. SAMEORIGHT :页面只能显示在页面本网站的框架中. 有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设...

歪歪1993
05/28
0
0
Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER

点击劫持(clickjacking)与X-Frame-Options Header 文/玄魂 目录 前言... 1.1 点击劫持(clickjacking attacks)... 1.2 Frame Bursters. 1.3 The X-Frame-Options. 1.3.1 X-Frame-Options.......

zting科技
2017/01/11
0
0
Web应用安全之Response Header里的敏感信息

Web应用安全之Response Header 文/玄魂 目录 Web应用安全之Response Header 前言 1.1 那些敏感的header 1.2 删除敏感的header 1.2.1 删除server字段 1.2.2 删除X-Powered-By字段 1.2.3 删除 ...

zting科技
2017/01/11
0
0

没有更多内容

加载失败,请刷新页面

加载更多

走上真正的教育之路——《中国最美的语文》读后感3100字

走上真正的教育之路——《中国最美的语文》读后感3100字: 文:张平。《中国最美的语文》,乍一听,你可能会觉得这个作者或者编辑有些大言不惭,竟然起这么大而狂的名字,可能名不副实。我没...

原创小博客
19分钟前
0
0
tomcat线程模型

Connector结构 BIO模式 NIO模式

grace_233
39分钟前
2
0
Javascript

变量定义 以$,_,字母开头 大小写敏感 var 关键字声明变量 声明未赋值undefined 数据类型 字符串,数字,布尔,数组,NULL,undefined 变量均为对象 函数 无默认值 var声明的是局部变量 函数外声明...

关元
41分钟前
1
0
文件系统、服务、防火墙、SELINUX——安全四大金刚

一提到安全,大家都会想到防火墙,和文件系统权限。而实际工作环境中,我们在Linux的安全配置,会涉及到四个级别。我们思考一个场景,你要在百度盘中存放一个文件,这个动作需要考虑下面四个...

Linux就该这么学
42分钟前
1
0
从源码角度理解Java设计模式——门面模式

一、门面模式介绍 门面模式定义:也叫外观模式,定义了一个访问子系统的接口,除了这个接口以外,不允许其他访问子系统的行为发生。 适用场景:子系统很复杂时,增加一个接口供外部访问。 优...

我叫刘半仙
51分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部