www.javainfo.com.cn 上干货 欢迎收藏

X-Frame-Options HTTP  响应头，可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

1.3.1 X-FRAME-OPTIONS   X-Frame-Options 共有三个值： 

1 DENY

任何页面都不能被嵌入到 iframe 或者 frame 中。

2 SAMEORIGIN

页面只能被本站页面嵌入到 iframe 或者 frame 中。

3 ALLOW-FROM  URI   （这个需要特殊注意：很多浏览器并不支持这个参数）

页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

APACHE 配置 X-FRAME-OPTIONS

在站点配置文件 httpd.conf 中添加如下配置，限制只有站点内的页面才可以嵌入 iframe 。

Header always append X-Frame-Options SAMEORIGIN

配置之后重启 apache 使其生效。该配置方式对 IBM HTTP Server 同样适用。

如果同一 apache 服务器上有多个站点，只想针对一个站点进行配置，可以修改 .htaccess 文件，添加如下内容：

Header append X-FRAME-OPTIONS "SAMEORIGIN"

NGINX  配置 X-FRAME-OPTIONS

到   nginx/conf 文件夹下，修改 nginx.conf   ，添加如下内容：

add_header X-Frame-Options "SAMEORIGIN";

重启 Nginx 服务。

IIS 配置 X-FRAME-OPTIONS

在 web 站点的 web.config 中配置：

<system.webServer>  

 ...  

 <httpProtocol>    

 <customHeaders>      

     <add name="X-Frame-Options" value="SAMEORIGIN" />    

 </customHeaders>   

</httpProtocol>  

 ...

 </system.webServer>

如有疑问 请留言 欢迎提供建议