如何在 iframe 上添加 HTTP 标头“X-Frame-Options”？

HTML 中的内联框架标签： iframe 标签用于在 HTML 文档中显示或嵌入另一个文档。它的属性“src”之一用于指定要显示的文档的 URL。站点的 X-frame 选项可以防止允许在另一个 HTML 文档中显示一个 HTML 文档。

X-Frame 选项： X-Frame 选项不是iframe或框架或任何其他 HTML 标记的属性。它是一个响应头，也称为 HTTP 安全头。此标头告诉浏览器是否在指定的 URL 中呈现 HTML 文档。这对于防止点击劫持攻击起着重要作用。因此，不能在 HTML 文档的正文中设置 X-Frame 选项。它由请求资源的域设置。可用的 X-Frame 选项包括：

• 拒绝：它防止在 iframe、框架、对象、小程序等容器中呈现任何 URL。即使页面来自同一个站点，当 X-Frame 选项设置为“拒绝”时，它也不会呈现。
• SAMEORIGIN：它允许呈现相同来源的页面。将允许显示来自同一站点的页面。
• ALLOW-FROM uri ：它只允许来自指定 uri 的 HTML 文档。

可以在要加载到 iframe 中的站点的 web-config 中设置 X-Frame 选项。

要在 IIS 中进行配置，请编写：

用于配置 Apache：

Header always set X-Frame-Options "sameorigin"

注意：浏览器 Edge（12 及以上版本）、Internet Explorer（8 及以上版本）支持 X-Frame-Options 中的ALLOW-FROM uri 。