有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息。
使用 X-Frame-Options 有三个可选的值:
- DENY:浏览器拒绝当前页面加载任何Frame页面
- SAMEORIGIN:frame页面的地址只能为同源域名下的页面
- ALLOW-FROM:origin为允许frame加载的页面地址
设置实例
方式一:配置Nginx:
配置 nginx 发送X-Frame-Options响应头,需要把下面这行添加到 'http', 'server' 或者 'location' 的配置中:
1 | add_header X-Frame-Options SAMEORIGIN; |
方式二:服务端语言直接输出头信息
PHP代码:
1 | header('X-Frame-Options:SAMEORIGIN'); |
JSP代码:
1 | response.setHeader("X-Frame-Options","SAMEORIGIN"); |
参考: