如何在iframe中添加HTTP头部“X-Frame-Options”？

HTML中的内联框架标签：iframe标签用于在一个HTML文档中显示或嵌入另一个文档。它的其中一个属性是……'src'它用于指定要显示的文档的URL。一个网站的X-Frame-Options参数可以决定是否允许在一个HTML文档中显示另一个HTML文档。X-Frame-Options：X-FrameOptions并不是该元素的属性。iframe or 框架/结构或者任何其他HTML标签。它属于响应头信息，也被称为HTTP安全头。这个头部信息告诉浏览器是否应该渲染指定URL中的HTML文档。这一功能对于防止点击劫持攻击非常重要。因此，X-Frame选项不能设置在HTML文档的主体部分中。而是由请求资源的域名来设定该选项的值。可用的X-Frame选项包括：

• 拒绝：不承认、不接受。这样可以防止任何URL在iframe、frame、对象或applet等容器中被显示。即使该页面来自同一个网站，只要将X-Frame选项设置为“拒绝”，那么该页面就不会被显示出来。
• 同根词/同源词：它允许来自同一源头的页面被渲染出来。也就是说，来自同一网站的页面可以被显示出来。
• 允许访问的URI：它仅允许从指定URI获取的HTML文档。

可以在要加载到iframe中的网站的web配置中设置X-Frame-Options参数。在 IIS 中进行配置时，请写入以下内容：HTML

<http协议>  <自定义头部信息>      <添加 名字=“X-Frame-Options” 价值=“sameorigin”/>  </自定义头部信息></http协议>

对于配置 Apache 来说：

Header always set X-Frame-Options "sameorigin"

注意：Edge浏览器（版本12及以上）、Internet Explorer浏览器（版本8及以上）都支持该功能。允许使用的URI类型在 X-Frame-Options 中。