我们的网站目前还不能防止点击劫持,所以我进入了 web.config 并进行了添加。
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />
</customHeaders>
</httpProtocol>
</system.webServer>
这是非常直接的代码。我的问题是它只是不起作用。 我有以下问题:
- 有没有办法让我查看头响应中是否存在
X-Frame-Options
?我使用httpfox搜索它,但什么都没有找到,所以我无法验证web.config
是否实际将内容放入头中。 - 为什么它不起作用?我能做些什么来测试或继续向前推进吗?
我尝试在Global.asax的Application_Start
方法中添加它,但我似乎无法在调试时“触发”此方法;它不会触发断点。
private void Application_Start(object sender, EventArgs e)
{
// Code that runs on application startup
HttpContext.Current.Response.AddHeader("x-frame-options", "DENY");
LogHelper.Info("Cost of Care Web Application Starting");
}
我想补充一点,我尝试过将其直接添加到头部标签中,还尝试将其添加在像这样的meta标签中
<meta http-equiv="X-Frame-Options" content="deny">
X-Frame-Options
:Response.AddHeader("X-Frame-Options", "DENY");
但我无法告诉你为什么它不起作用,因为文档看起来应该可以。 - siva.kprotected void Application_BeginRequest(){}
方法,并将其添加到其中。 - siva.k