简单来说就是当前域名不允许随便嵌套在别的域名下
X-Frame-Options 有三个值: 各自独立
DENY : 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}
SAMEORIGIN : 表示该页面可以在相同域名页面的 frame 中展示。 设置方式 add_header X-Frame-Options SAMEORIGIN;
ALLOW-FROM uri : 表示该页面可以在指定来源的 frame 中展示。 设置方式 add_header X-Frame-Options "ALLOW-FROM http://ex.com"; 多个以英文逗号隔开(add_header X-Frame-Options "ALLOW-FROM http://ex.com, http://ex.com";)
换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。