确保 Laravel 网站不会被嵌入到其他站点中

HTTP 响应头部中,有一个字段,叫做 X-Frame-Options,该字段可以用来指示是否允许自己的网站被嵌入到其他网站的 <iframe> 或者 <object> 标签中。该头部有三个值

  • DENY - 始终不允许嵌入,即使是同一个域名
  • SAMEORIGIN - 只能在相同域名中嵌入
  • ALLOW-FROM uri - 设置允许的域

通常,可以在 HTTP 代理中进行配置,比如 nginx

add_header X-Frame-Options SAMEORIGIN;

Laravel 自带了用来「只允许同域名嵌入」的中间件,我们只需要在 /app/Http/Kernel.php 中添加即可

// /app/Http/Kernel.php
protected $middleware = [
    \Illuminate\Http\Middleware\FrameGuard::class,
];

该中间件的实现如下

<?php

namespace Illuminate\Http\Middleware;

use Closure;

class FrameGuard
{
    /**
     * Handle the given request and get the response.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return \Symfony\Component\HttpFoundation\Response
     */
    public function handle($request, Closure $next)
    {
        $response = $next($request);

        $response->headers->set('X-Frame-Options', 'SAMEORIGIN', false);

        return $response;
    }
}
本作品采用《CC 协议》,转载必须注明作者和本文链接
本帖由系统于 1年前 自动加精
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 5

强烈安利:https://securityheaders.com/

可以直接扫描特定 URL 是否包含一些安全头信息。类似的头还有 X-Content-Type-Options Referrer-PolicyFeature-Policy 等。

1年前 评论
qiuyuhome 1年前
小李世界 1年前
小李世界 1年前

干货,Mark一波!

1年前 评论

强烈安利:https://securityheaders.com/

可以直接扫描特定 URL 是否包含一些安全头信息。类似的头还有 X-Content-Type-Options Referrer-PolicyFeature-Policy 等。

1年前 评论
qiuyuhome 1年前
小李世界 1年前
小李世界 1年前
小李世界

https://securityheaders.com/?q=233.sx&...

弄了个 A+ :speak_no_evil:

1年前 评论

我也安利一个工具 https://gtmetrix.com 网站性能优化的

1年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!