为了避免点击劫持,我需要以类似于使用 apache 中的 X-Header 和 SAMEORIGIN 的方式禁用对我网站的 iframe 访问。但是我使用的是 SunOne Web 服务器,无法更改它。有没有办法做到这一点,而不需要对网站上已有的内容进行大量重写?
我使用 CentOS 作为服务器。
答案1
http://docs.oracle.com/cd/E19554-01/819-4464-10/#wp34190
支持任意自定义标头
在 Web Server 6.0 SP10 中,可以使用设置变量 SAF(服务器应用程序功能)向服务器的 HTTP 响应添加自定义标头。例如,请考虑以下 server-id /config/obj.conf 指令:
看起来你想要的是:
AuthTrans fn="set-variable" insert-srvhdrs="X-Frame-Options: SAMEORIGIN"
也就是说,这是一个十年前就停止使用的网络服务器......