zoukankan      html  css  js  c++  java
  • ASP.NET MVC 防止前端点击劫持

    前端点击劫持的原理:通过向我们的页面中添加Iframe,并将Iframe设置成透明,在页面相应的地方设置一些操作引导,让用户在不知不觉中发送一些请求。

    解决前端点击劫持的手段就是在服务器端的响应报文中增加X-Frame-Options配置。X-Frame-Options值有3种:

    1、DENY:无论如何不在框架中显示。

    2、SAMEORIGIN: 仅在同源域名下的框架中显示。

    3、ALLOW-FROM uri:仅在指定域名下的框架中显示。

    配置X-Frame-Options的手段也有多种:

    1、在web.Config中添加配置

      <system.webServer>
      ...
    <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN"/> </customHeaders> </httpProtocol>
      ... </system.webServer>

    2、可以添加一个全局过滤器来配置

    public class XframeOptions : ActionFilterAttribute
    {
        public override void OnResultExecuting(System.Web.Mvc.ResultExecutingContext filterContext)
        {
            filterContext.HttpContext.Response.AddHeader("X-Frame-Options", "DENY");
        }
    }

    3、若是需要灵活配置,可以考虑在controller中添加配置

            public ActionResult Index()
            {
                if (Response.Headers["X-Frame-Options"] == null)
                {
                    Response.AddHeader("X-Frame-Options", "SAMEORIGIN");
                }
                return View();
            }
  • 相关阅读:
    win10安装Redis
    imemode属性解释
    DataTable导出到Excel
    Oracle中wm_concat函数报错解决方法
    GridView中生成复合表头
    WinXP下无法打开ACCESS解决办法
    提醒功能
    网页常用Javascript
    ASP.NET记录错误日志
    GridView中Js的应用
  • 原文地址:https://www.cnblogs.com/vichin/p/12394031.html
Copyright © 2011-2022 走看看