HTTP 标头 | X 框架选项
HTTP 标头用于通过 HTTP 响应或 HTTP 请求传递附加信息。 X-Frame-Options用于防止网站点击劫持攻击。它定义是否应允许浏览器在 、 、 或中呈现页面。 Content-Security-Policy(CSP) 中的 frame-ancestors 指令已经过时了 X-Frame-Options。
句法:
X-Frame-Options: directive
指令:
- 拒绝:该指令阻止站点在中呈现,即站点不能嵌入到其他站点中。
- sameorigin:该指令允许在框架中呈现页面,只要框架与页面具有相同的来源。
- allow-from uri:该指令现已过时,不应使用。现代浏览器不支持它。在这种情况下,页面可以在源自指定 uri 的中呈现。
例子:
- 在阿帕奇上:
要将 X-Frame-Options 发送到相同来源的所有页面,请将其设置为您网站的配置。
Header always set X-Frame-Options "sameorigin"
- 打开 httpd.conf 文件并添加以下代码以拒绝权限
header always set x-frame-options "DENY"
- 在 Nginx 上:打开服务器配置文件并添加以下代码以仅允许来自同源
add_header x-frame-options "SAMEORIGIN" always;
支持的浏览器: X-Frame-Options支持的浏览器如下:
- 铬合金
- IE浏览器
- 苹果浏览器
- 火狐
- 边缘
注意:只有 Internet Explorer 和 Microsoft Edge 支持allow-from指令。