HTTP头部信息 | X-Frame-Options

HTTP头部信息被用来在HTTP响应或HTTP请求中传递额外的信息。X-Frame-Options用于防止该网站被访问。点击劫持攻击它决定了是否允许浏览器渲染某个页面。<frame>, <iframe>, <embed> or <object>在 Content-Security-Policy 中存在的 “frame-ancestors” 指令，实际上会取代 X-Frame-Options 指令的功能。

语法：  

X-Frame-Options: directive

指令/指示：  

• 拒绝：不答应、不接受。该指令使得该网站无法被渲染出来。<frame>也就是说，该网站无法被嵌入到其他网站上。
• sameorigin：相同来源/同一地区该指令允许在框架中渲染页面，前提是框架的源地址与页面的源地址相同。
• 允许的来源URI：该指令现在已经过时了，不应该再被使用。现代浏览器并不支持该指令。在这种情况下，页面可能无法正常显示。<frame>它源自某个特定的URI。

示例：  

• 在 Apache 上： 
  若希望将 X-Frame-Options 字段发送到同一源域中的所有页面，请将其设置为您网站的配置值。

Header always set X-Frame-Options "sameorigin"

• 打开 httpd.conf 文件，并在其中添加以下代码以禁止该权限。

header always set x-frame-options "DENY"

• 关于 Nginx：打开服务器配置文件，并添加以下代码，以只允许来自同一源的请求。

add_header x-frame-options "SAMEORIGIN" always;

支持的浏览器：支持的浏览器包括：X-Frame-Options以下列出了这些内容：

• Chrome
• Internet Explorer
• Safari
• Firefox
• 边缘

注意：只有 Internet Explorer 和 Microsoft Edge 支持这种功能。允许的来源/来源许可指令/指示。