公司项目 漏洞修复 有一条 “点击劫持:X-Frame-Options未配置”,在网上查了很多资料 基本上都是下面的内容
使用 X-Frame-Options 有三个可选的值:
- DENY:浏览器拒绝当前页面加载任何Frame页面
- SAMEORIGIN:frame页面的地址只能为同源域名下的页面
- ALLOW-FROM:origin为允许frame加载的页面地址
Apache配置:
- Header always append X-Frame-Options SAMEORIGIN