我计划X-Frame-Options SAMEORIGIN在我的服务器中设置httpd.conf,以改进对点击劫持的防御。我理解这会将X-Frame-Options标头添加到全部页面。有一个“小部件”页面,我想将其从中排除(其他网站将在 内显示此页面IFRAME)。
有没有办法配置 Apache 2 使其不单独发送特定页面的标题?
答案1
是的,使用SetEnvIf:
SetEnvIf Request_URI "^/my_awesome_widget_page.html$" iframes_are_cool
Header set X-Frame-Options SAMEORIGIN env=!iframes_are_cool
答案2
您可以在 .htaccess 文件中取消设置 X-Frame-Options 标头(假设您的小部件位于其自己的子目录中):
Header always unset X-Frame-Options