📜  如何在 iframe 上添加 HTTP 标头“X-Frame-Options”?

📅  最后修改于: 2022-05-13 01:56:23.232000             🧑  作者: Mango

如何在 iframe 上添加 HTTP 标头“X-Frame-Options”?

HTML 中的内联框架标签: iframe 标签用于在 HTML 文档中显示或嵌入另一个文档。它的属性“src”之一用于指定要显示的文档的 URL。站点的 X-frame 选项可以防止允许在另一个 HTML 文档中显示一个 HTML 文档。

X-Frame 选项: X-Frame 选项不是iframe框架或任何其他 HTML 标记的属性。它是一个响应头,也称为 HTTP 安全头。此标头告诉浏览器是否在指定的 URL 中呈现 HTML 文档。这对于防止点击劫持攻击起着重要作用。因此,不能在 HTML 文档的正文中设置 X-Frame 选项。它由请求资源的域设置。可用的 X-Frame 选项包括:

  • 拒绝:它防止在 iframe、框架、对象、小程序等容器中呈现任何 URL。即使页面来自同一个站点,当 X-Frame 选项设置为“拒绝”时,它也不会呈现。
  • SAMEORIGIN:它允许呈现相同来源的页面。将允许显示来自同一站点的页面。
  • ALLOW-FROM uri它只允许来自指定 uri 的 HTML 文档。

可以在要加载到 iframe 中的站点的 web-config 中设置 X-Frame 选项。

要在 IIS 中进行配置,请编写:


  
      
  

用于配置 Apache:

Header always set X-Frame-Options "sameorigin"

注意:浏览器 Edge(12 及以上版本)、Internet Explorer(8 及以上版本)支持 X-Frame-Options 中的ALLOW-FROM uri