X-Frame-Options 响应头
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>
, <iframe>
或者 <object>
中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
X-Frame-Options 有三个值:
X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM https://example.com/
- 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
- 表示该页面可以在相同域名页面的 frame 中展示。
DENY
SAMEORIGIN
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。