X-Frame-Options
只有当访问文档的用户使用浏览器支持时才提供附加的安全性
X-Frame-Options
。
|
Header type |
Response header |
|---|---|
|
Forbidden header name |
no |
句法
X-Frame-Options
有三种可能的指示:
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/指令
如果指定
DENY
,从其他站点加载时,不仅尝试在框架中加载页面失败,从同一站点加载时尝试这样做将失败。另一方面,如果指定
SAMEORIGIN
,只要包含在框架中的站点与为页面提供服务的站点相同,仍然可以在框架中使用该页面。
DENY
无论站点尝试这样做,页面都不能显示在框架中。
SAMEORIGIN
该页面只能显示在与页面本身相同的源框架中。
ALLOW-FROM
_
uri
_页面只能显示在指定原点的框架中。
例子
注意:
设置元标记是没用的!例如,
<meta http-equiv="X-Frame-Options" content="deny">
没有效果。不要使用它!只有像下面的例子那样设置HTTP头
X-Frame-Options
才能工作。
配置 Apache
要配置 Apache
X-Frame-Options
为所有页面发送标题,请将其添加到您网站的配置中:
Header always append X-Frame-Options SAMEORIGIN
要配置 Apache 来设置
X-Frame-Options
拒绝,请将其添加到您网站的配置中:
Header set X-Frame-Options DENY
要配置 Apache 以将其设置
X-Frame-Options
为
ALLOW-FROM
特定主机,请将其添加到您网站的配置中:
Header set X-Frame-Options "ALLOW-FROM https://example.com/"配置 nginx
要配置 nginx 发送
X-Frame-Options
头文件,请将其添加到您的
http,服务器或位置配置中:
add_header X-Frame-Options SAMEORIGIN;配置 IIS
要配置 IIS 发送
X-Frame-Options
标题,请添加此站点的
Web.config
文件:
<system.webServer>
<httpProtocol>
<customHeaders>