X-Frame-Options

X-Frame-Options  响应头是用来给浏览器指示允许一个页面可否在 , 或者  中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。

使用 X-Frame-Options

X-Frame-Options 有三个值:

DENY

表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

换一句话说，如果设置为 DENY，不光在别人的网站 frame 嵌入时会无法加载，在同域名页面中同样会无法加载。另一方面，如果设置为 SAMEORIGIN，那么页面就可以在同域名页面的 frame 中嵌套。

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头，添加下面的配置到 Web.config 文件中:

    
       ...  
         
            
           
        
       ...
    

结果

在 Firefox 尝试加载 frame 的内容时，如果 X-Frame-Options 响应头设置为禁止访问了，那么 Firefox 会用 about:blank 展现到 frame 中。也许从某种方面来讲的话，展示为错误消息会更好一点。

 

X-XSS-Protection

 HTTP X-XSS-Protection 响应头是Internet Explorer，Chrome和Safari的一个功能，当检测到跨站脚本攻击 ()时，浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的，当网站实施一个强大的来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持  的旧版浏览器的用户提供保护。

语法

X-XSS-Protection: 0X-XSS-Protection: 1X-XSS-Protection: 1; mode=blockX-XSS-Protection: 1; report=
    

0

禁止XSS过滤。

1

启用XSS过滤（通常浏览器是默认的）。 如果检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。

1;mode=block

启用XSS过滤。 如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。

1; report=<reporting-URI>  (Chromium only) 　　启用XSS过滤。 如果检测到跨站脚本攻击，浏览器将清除页面并使用CSP  指令的功能发送违规报告。

X-Content-Type-Options

 X-Content-Type-Options 响应首部相当于一个提示标志，被服务器用来提示客户端一定要遵循在  首部中对   的设定，而不能对其进行修改。这就禁用了客户端的 行为，换句话说，也就是意味着网站管理员确定自己的设置没有问题。

语法

X-Content-Type-Options: nosniff

指令

nosniff

下面两种情况的请求将被阻止：

• 请求类型是"style" 但是 MIME 类型不是 "text/css"，
• 请求类型是"script" 但是 MIME 类型不是  。