注意: CSP Level 2 規范中的 frame-ancestors 指令會替代這個非標準的 header。CSP 的 frame-ancestors 會在 Gecko?4.0 中支持，但是并不會被所有瀏覽器支持。然而 X-Frame-Options 是個已廣泛支持的非官方標準，可以和 CSP 結合使用。

X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe> 或者 <object> 中展現的標記。網站可以使用此功能，來確保自己網站的內容沒有被嵌到別人的網站中去，也從而避免了點擊劫持 (clickjacking) 的攻擊。

使用 X-Frame-Options

X-Frame-Options 有三個值:

DENY

表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許。

SAMEORIGIN

表示該頁面可以在相同域名頁面的 frame 中展示。

ALLOW-FROM uri

表示該頁面可以在指定來源的 frame 中展示。

換一句話說，如果設置為 DENY，不光在別人的網站 frame 嵌入時會無法加載，在同域名頁面中同樣會無法加載。另一方面，如果設置為 SAMEORIGIN，那么頁面就可以在同域名頁面的 frame 中嵌套。

配置 Apache

配置 Apache 在所有頁面上發送 X-Frame-Options 響應頭，需要把下面這行添加到 'site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置 nginx

配置 nginx 發送 X-Frame-Options 響應頭，把下面這行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

配置 IIS

配置 IIS 發送 X-Frame-Options 響應頭，添加下面的配置到 Web.config 文件中:

<system.webServer>...<httpProtocol><customHeaders><add name="X-Frame-Options" value="SAMEORIGIN" /></customHeaders></httpProtocol>... </system.webServer>

結果

在 Firefox 嘗試加載 frame 的內容時，如果 X-Frame-Options 響應頭設置為禁止訪問了，那么 Firefox 會用 about:blank 展現到 frame 中。也許從某種方面來講的話，展示為錯誤消息會更好一點。

轉載于:https://www.cnblogs.com/firstdream/p/8309063.html

總結

以上是生活随笔為你收集整理的X-Frame-Options 响应头的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。