http响应头中的X-Frame-Options防止被frame

Posted liang-yao

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了http响应头中的X-Frame-Options防止被frame相关的知识,希望对你有一定的参考价值。

X-Frame-Options 响应头有3个值:

DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。

Nginx配置:把下列这行添加到nginx.conf的“http”或"server"或“location”中

add_header X-Frame-Options SAMEORIGIN;

IIS配置:把下列这行添加到Web.config

<system.webServer>

  ...

 

  <httpProtocol>

    <customHeaders>

      <add name="X-Frame-Options" value="SAMEORIGIN" />

    </customHeaders>

  </httpProtocol>

 

  ...

</system.webServer>

Apache配置:把下列这行添加到site

Header always append X-Frame-Options SAMEORIGIN

以上是关于http响应头中的X-Frame-Options防止被frame的主要内容,如果未能解决你的问题,请参考以下文章

协议分析HTTP响应头中的2种编码方式介绍

你知道 http 响应头中的 ETag 是如何生成的吗

X-Frame-Options 响应头

如何在HTTP头中隐藏PHP版本号

如何抑制 X-Frame-Options SAMEORIGIN 响应标头?

安全防护:X-Frame-Options(点击劫持)