x-frame-options的出現一部分是為了防止一些別有用心的者制作釣魚網站，現在支持的瀏覽器有一下：

• chrome 4.1.249.1042
• firefox 3.6.9(1.9.2.9)
• IE 8.0
• opera 10.50
• safari

?

使用 X-Frame-Options 有三個可選的值：

DENY：瀏覽器拒絕當前頁面加載任何Frame頁面

SAMEORIGIN：frame頁面的地址只能為同源域名下的頁面

ALLOW-FROM：允許frame加載的頁面地址

?

?

PHP代碼:

header('X-Frame-Options:Deny');

　　

Nginx配置:

add_header X-Frame-Options SAMEORIGIN

　　

Apache配置:

Header always append X-Frame-Options SAMEORIGIN

?

在grape&Sinatra中設置辦法

get "/url" doresponse.headers["X-Frame-Options"] = ''do something end

　　

在header中增加??X-Frame-Options?SAMEORIGIN? 輸出，如下圖：

?

更多詳解：https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

?

?

?

其它防止被 FRAME 加載你的網站頁面方法：

1. meta 標簽：很多時候沒有效果，無視。

<meta http-equiv="Windows-Target" contect="_top">

　　

2. js 判斷頂層窗口跳轉，可輕易破解，意義不大。

function locationTop(){ if (top.location != self.location) { top.location = self.location; return false; } return true; } locationTop();

　　破解：

// 頂層窗口中放入代碼 var location = document.location; // 或者 var location = "";

　　

轉載于:https://www.cnblogs.com/ayseeing/p/4325879.html

總結

以上是生活随笔為你收集整理的使用设置报头x-Frame-Options限制iframe网页嵌套的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。