HTTPXFrameOptions防止iframe内框架调用

X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面 

或 中. 以确保网站内容是不是嵌入到其它网站. 

 
 
X-Frame-Options" content&＃61;"SAMEORIGIN / DENY "> 
 
 

使用X-Frame-Options 有两种可能的值&＃xff1a; 
DENY &＃xff1a;该页无法显示在一个框架中. 
SAMEORIGHT &＃xff1a;页面只能显示在页面本网站的框架中. 


换句话说&＃xff0c;通过/ 框架加载页面&＃xff0c;如果你指定DENY&＃xff0c;不仅会尝试加载在一个
框架页面失败&＃xff0c;其它网站加载也会失败。 另一方面&＃xff0c;如果你指定 SAMEORIGHT, 其它网站加载会失败, 
它可以作为页面相同的站点加载。 

可以配置Apache为所有网页发送X-Frame-Options. 

当试图加载到 / 框架中的内容有X-Frame-Options 的选项头失败时&＃xff0c; 火狐目前 在/ 呈现是空白。 

详细说明看下面文章&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;>

原文&＃xff1a;http://www.css88.com/archives/5141

使用 X-Frame-Options 有三个可选的值&＃xff1a;

1. DENY&＃xff1a;浏览器拒绝当前页面加载任何Frame页面
2. SAMEORIGIN&＃xff1a;frame页面的地址只能为同源域名下的页面
3. ALLOW-FROM&＃xff1a;origin为允许frame加载的页面地址

eg:

[html] view plain copy

顺便说一下&＃xff0c;Optimizely 是一家网站测试工具提供商&＃xff0c;小资料http://www.36kr.com/p/6943.html

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale&＃61;en-US&redirectslug&＃61;The_X-FRAME-OPTIONS_response_header