X-Frame-Options是什麼?
X-Frame-Options是一個HTTP標頭(header),用來告訴瀏覽器這個網頁是否可以放在iFrame內。例如:·
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM http://caibaojian.com/
第一個例子告訴瀏覽器不要(DENY)把這個網頁放在iFrame內,通常的目的就是要幫助用戶對抗點擊劫持。
第二個例子告訴瀏覽器只有當架設iFrame的網站與發出X-Frame-Options的網站相同,才能顯示發出X-Frame-Options網頁的內容。
第三個例子告訴瀏覽器這個網頁只能放在http://caibaojian.com//網頁架設的iFrame內。
不指定X-Frame-Options的網頁等同表示它可以放在任何iFrame內。
X-Frame-Options可以保障你的網頁不會被放在惡意網站設定的iFrame內,令用戶成爲點擊劫持的受害人。
另外查了最新的資料,還可以直接通過meta標籤來設置,不需要放在http頭部請求中了。
<meta http-equiv="X-Frame-Options" content="deny">
兩個參數:(作用與上面一致)
SAMEORIGIN
DENY