我希望防止我的网站被点击劫持攻击。在哪个文件中以及在哪里设置X-Frame-Options以防止点击劫持攻击。
2个回答
23
你有两种方式:
- 在反向代理(如Nginx)中设置它
add_header X-Frame-Options "SAMEORIGIN";
- 将 Laravel 中间件
Illuminate\Http\Middleware\FrameGuard应用到需要保护的路由上。
<?php
namespace Illuminate\Http\Middleware;
use Closure;
class FrameGuard
{
/**
* Handle the given request and get the response.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return \Symfony\Component\HttpFoundation\Response
*/
public function handle($request, Closure $next)
{
$response = $next($request);
$response->headers->set('X-Frame-Options', 'SAMEORIGIN', false);
return $response;
}
}
- Shizzen83
4
嘿,我遇到了同样的问题。我尝试了这种方法(FrameGuard),但我仍然得到了“拒绝显示...在框架中,因为它将'X-Frame-Options'设置为'sameorigin'”的错误信息,是我漏掉了什么吗? - H Mihail
1@HMihail,听起来你想做的是与OP尝试做的相反的事情。(允许来自不同域的iframe而不是防止除同一域之外的所有内容。) - J.D. Sandifer
这对 API 路由也适用吗?我有一个单页应用程序。 - mafortis
2它对JSON路由无效,只对HTML路由有效,因此它对你唯一的HTML路由有用。 - Shizzen83
4
要解决所有路由上的问题:
在app/http/Kernel.php中的protected $middleware中添加FrameGuard::class,
默认情况下,FrameGuard.php设置为"SAMEORIGIN",但您可以根据需要更改以下行的第二个参数为"DENY"或"ALLOW-FROM uri":
$response->headers->set('X-Frame-Options', 'SAMEORIGIN', false);
- cbenoit
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 41 如何在Laravel项目中添加jQuery
- 23 如何在express.js node.js中设置X-Frame-Options
- 3 如何在 Laravel 项目中包含外部文件?
- 40 如何在 Laravel 项目中为 VueJS 3 设置 compilerOptions.isCustomElement?
- 5 如何在Laravel项目中安装PHPUnit
- 7 如何在由Github托管的内容中设置X-Frame-Options?
- 10 在现有项目中安装 Laravel
- 239 如何在iframe上设置'X-Frame-Options'?
- 3 Laravel项目中的'NotFoundHttpException'错误
- 3 如何在我的laravel项目中添加自定义javascript文件?
X-Frame-Options。https://gist.github.com/EduardoSP6/221c75332de2dbebebe98bf51f80ddb5 - Waqleh