欢乐颂第三季,穿越小说排行榜

1，使用 django 進行開發(fā)時，由于項目前端頁面使用iframe框架，瀏覽器錯誤提示信息如下

Refused to display 'http://127.0.0.1:8000/' in a frame because it set 'X-Frame-Options' to 'deny'.

根據(jù)提示信息發(fā)現(xiàn)是因為 X-Frame-Options=deny 導(dǎo)致的。

二、X-Frame-Options

1 X-Frame-Options是什么

The X-Frame-Options HTTP 響應(yīng)頭是用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe>,<embed> 或者 <object>中展現(xiàn)的標(biāo)記。站點可以通過確保網(wǎng)站沒有被嵌入到別人的站點里面，從而避免點擊劫持（clickjacking）攻擊。

2 語法

X-Frame-Options 有三個值：

DENY ：表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許
SAMEORIGIN ：表示該頁面可以在相同域名頁面的 frame 中展示
ALLOW-FROM uri ：表示該頁面可以在指定來源的 frame 中展示

根據(jù)上述 X-Frame-Options的三個值描述，只要修改django的X-Frame-Options為SAMEORIGIN ，那么相同域名頁面就可以使用frame中展示。

3 功能

點擊劫持保護

clickjacking中間件和裝飾器提供了易于使用的保護，以防止clickjacking。當(dāng)惡意站點誘使用戶單擊他們已加載到隱藏框架或iframe中的另一個站點的隱藏元素時，會發(fā)生這種類型的攻擊。

防止點擊劫持

現(xiàn)代瀏覽器采用X-Frame-Options HTTP標(biāo)頭，該標(biāo)頭指示是否允許在框架或iframe中加載資源。如果響應(yīng)包含標(biāo)頭值為的標(biāo)頭，SAMEORIGIN則瀏覽器將僅在請求源自同一站點時才將資源加載到框架中。如果將標(biāo)頭設(shè)置為，DENY則無論哪個站點發(fā)出請求，瀏覽器都將阻止資源加載到框架中。

三、在Django 中設(shè)置

在django3.0 版本中，默認開啟點擊劫持保護。Django 提供了幾種在您的網(wǎng)站響應(yīng)中包含此標(biāo)頭的方法：

在所有響應(yīng)中設(shè)置標(biāo)頭的中間件。
一組視圖裝飾器，可用于覆蓋中間件或僅為某些視圖設(shè)置標(biāo)頭。

如果 X-Frame-OptionsHTTP 頭尚未在響應(yīng)中出現(xiàn)，則僅由中間件或視圖裝飾器設(shè)置。

Django默認開啟點擊劫持保護

設(shè)置X-Frame-Options為所有響應(yīng)

要X-Frame-Options為您站點中的所有響應(yīng)設(shè)置相同的值，請在 setting.py 中 MIDDLEWARE 輸入 'django.middleware.clickjacking.XFrameOptionsMiddleware'

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

在生成的設(shè)置文件中啟用了該中間件 startproject。

默認情況下，中間件將為每個outgoing 將X-Frame-Options標(biāo)頭設(shè)置 DENY為HttpResponse。

1 . 設(shè)置允許同域名網(wǎng)站使用frme展示

默認情況下，中間件將為每個出站的HttpResponse將X-Frame-Options頭設(shè)置為DENY。

如果您希望此標(biāo)頭的任何其他值，請設(shè)置X_FRAME_OPTIONS設(shè)置

X_FRAME_OPTIONS = 'SAMEORIGIN'

2 指定視圖函數(shù)不設(shè)置 X-Frame-Options

from django.shortcuts import render
from django.views.decorators.clickjacking import xframe_options_exempt


@xframe_options_exempt
def index(request):
    if request.method == "GET":

3 指定視圖函數(shù)設(shè)置 X-Frame-Options

from django.shortcuts import render
from django.views.decorators.clickjacking import xframe_options_deny, xframe_options_sameorigin


@xframe_options_deny
def index(request):
    if request.method == "GET":

@xframe_options_sameorigin
def center(request):
    if request.method == "GET":

二、X-Frame-Options

三、在Django 中設(shè)置

二、X-Frame-Options

三、在Django 中設(shè)置