我尝试将X-FRAME-OPTIONS放到http标头以防止Clickjacking攻击。 如果我像这样在httpd.conf或.htaccess文件中设置标题,它就可以工作。
Header set X-Frame-Options SAMEORIGIN
但有几个地方在我自己的网站上使用iFrame,如果我这样做,它也会在我自己的网站上阻止iFrame。所以我尝试为自己的网站添加一个例外。检查请求是否来自我自己的网站,然后在页面上允许iFrame。我尝试了这个,但它没有用。
SetEnvIf Host http://myownwebsite\.com iframes_are_cool
Header set X-Frame-Options SAMEORIGIN env=!iframes_are_cool
有人可以帮我这个吗?
答案 0 :(得分:0)
SetEnvIf不太灵活,因此我建议仅使用//部分。尝试以下操作:
<If "! %{HOST} =~ /http://myownwebsite\.com/">
Header set X-Frame-Options SAMEORIGIN
</If>