X-Frame-Options 헤드 가 설정 되 어 있 지 않 아 웹 페이지 가 iframe 내 프레임 에 호출 되 는 것 을 방지 합 니 다.

설명:대상 서버 에서 X-Frame-Options 헤드 를 되 돌려 주지 않 았 습 니 다.
X-Frame-options HTTP 응답 헤드 는 브 라 우 저가 frame 이나 iframe 태그 에 페이지 를 표시 할 수 있 는 지 확인 하 는 데 사 용 됩 니 다.사 이 트 는 이 헤드 로 그들의 내용 이 다른 사이트 에 포함 되 지 않도록 보증 할 수 있 습 니 다.클릭 하여 납 치 를 피 할 수 있 습 니 다.
위해:공격 자 는 투명 하고 보이 지 않 는 iframe 을 사용 하여 대상 홈 페이지 에 덮어 쓰 고 사용 자 를 이 홈 페이지 에서 조작 하도록 유도 할 수 있 습 니 다.이때 사용 자 는 모 르 는 상태 에서 투명 한 iframe 페이지 를 클릭 합 니 다.iframe 페이지 의 위 치 를 조정 함으로써 사용자 가 iframe 페이지 의 일부 기능 성 단 추 를 누 르 도록 유도 하여 납 치 될 수 있 습 니 다.
해결 방안:
웹 서버 설정 을 수정 하고 X-frame-options 응답 헤드 를 추가 합 니 다.할당 은 다음 과 같은 세 가지 가 있 습 니 다.
(1)DENY:iframe 이나 frame 에 삽입 할 수 없습니다.
(2)SAMEORIGIN:페이지 는 이 사이트 페이지 에 만 iframe 이나 frame 에 삽 입 될 수 있 습 니 다.
(3)ALLOW-FROM uri:지정 한 도 메 인 이름 의 프레임 에 만 삽 입 됩 니 다.
코드 에 도 추가 할 수 있 습 니 다.PHP 에 도 추가 할 수 있 습 니 다.header('X-Frame-Options: deny');일부 중요 한 웹 페이지 가 다른 사이트 프레임 워 크 에 가 져 오 는 것 을 방지 하고 페이지 에 X-Frame-Options 응답 헤드 를 추가 할 수 있 습 니 다.그러면 브 라 우 저 는 X-Frame-Options 의 값 에 따라 iframe 프레임 워 크 의 페이지 를 불 러 올 수 있 는 지 여 부 를 제어 합 니 다.IE 의 효 과 는 다음 과 같 습 니 다.(이 내용 은 프레임 워 크 에 표시 할 수 없습니다.이 사이트 에 입력 한 정보의 안전 을 보호 하기 위해 이 콘 텐 츠 의 발행 자 는 프레임 워 크 에 이 정 보 를 표시 할 수 없습니다).다른 비 IE 핵심 브 라 우 저 는 빈 콘 텐 츠 를 표시 합 니 다.

동적 페이지 에 X-Frame-Options 응답 헤더 예제 코드 추가
asp

<%
response.AddHeader "X-Frame-Options","Deny"
%>

Asp.Net

Response.AddHeader("X-Frame-Options", "Deny");

PHP

header('X-Frame-Options:Deny');

웹 사이트 전체 가 프레임 워 크 되 지 않 는 것 을 확인 하면 웹 서버 를 직접 설정 하고 X-Frame-Options 응답 헤드 를 추가 할 수 있 습 니 다.IIS 아래 그림 과 같이 http 헤드 추가

X-Frame-Options 응답 헤드 사용 가능 한 값 은
DENY:브 라 우 저 는 현재 페이지 에 프레임 페이지 를 불 러 오 는 것 을 거부 합 니 다

SAMEORIGIN:frame 페이지 의 주 소 는 같은 도 메 인 이름 의 페이지 만 있 을 수 있 습 니 다

ALLOW-FROM:origin 은 frame 로 딩 을 허용 하 는 페이지 주소 입 니 다

X-Frame-Options 응답 헤더 에 대한 브 라 우 저 지원 은 다음 과 같 습 니 다.
브 라 우 저
버 전 지원
IE
8.0+
Firefox
3.6.9+
Opera
10.50+
Safari
4.0+
Chrome
4.1.249.1024+
더 자세 한 튜 토리 얼 은 이 글 을 보 는 것 을 권장 합 니 다https://www.jb51.net/article/109436.htm