X-Frame-Options 响应头有3个值:
DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。
Nginx配置:把下列这行添加到nginx.conf的“http”或"server"或“location”中
add_header X-Frame-Options
SAMEORIGIN;
IIS配置:把下列这行添加到Web.config
<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>
Apache配置:把下列这行添加到site
Header always append X-Frame-Options SAMEORIGIN