X-Frame-Options
只有当访问文档的用户使用浏览器支持时才提供附加的安全性X-Frame-Options。
Header type | Response header |
|---|---|
Forbidden header name | no |
句法
X-Frame-Options有三种可能的指示:
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/指令
如果指定DENY,从其他站点加载时,不仅尝试在框架中加载页面失败,从同一站点加载时尝试这样做将失败。另一方面,如果指定SAMEORIGIN,只要包含在框架中的站点与为页面提供服务的站点相同,仍然可以在框架中使用该页面。
DENY无论站点尝试这样做,页面都不能显示在框架中。SAMEORIGIN该页面只能显示在与页面本身相同的源框架中。ALLOW-FROM_ uri_页面只能显示在指定原点的框架中。
例子
注意:设置元标记是没用的!例如,<meta http-equiv="X-Frame-Options" content="deny">没有效果。不要使用它!只有像下面的例子那样设置HTTP头X-Frame-Options才能工作。
配置 Apache
要配置 Apache X-Frame-Options为所有页面发送标题,请将其添加到您网站的配置中:
Header always append X-Frame-Options SAMEORIGIN要配置 Apache 来设置X-Frame-Options拒绝,请将其添加到您网站的配置中:
Header set X-Frame-Options DENY要配置 Apache 以将其设置X-Frame-Options为ALLOW-FROM特定主机,请将其添加到您网站的配置中:
Header set X-Frame-Options "ALLOW-FROM https://example.com/"配置 nginx
要配置 nginx 发送X-Frame-Options头文件,请将其添加到您的
http,服务器或位置配置中:
add_header X-Frame-Options SAMEORIGIN;配置 IIS
要配置 IIS 发送X-Frame-Options标题,请添加此站点的Web.config文件:
<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>配置 HAProxy
要配置 HAProxy 发送X-Frame-Options标题,请将其添加到前端,监听或后端配置中:
rspadd X-Frame-Options:\ SAMEORIGIN产品规格
Specification | Title |
|---|---|
RFC 7034 | HTTP Header Field X-Frame-Options |
浏览器兼容性
Feature | Chrome | Firefox | Edge | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
Basic Support | 4.0 | 3.6.9 | (Yes) | 8.0 | 10.50 | 4.0 |
ALLOW-FROM | (No) | 18 | ? | 8.0 | ? | (Yes) |
Feature | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
|---|---|---|---|---|---|---|---|
Basic Support | (Yes) | (Yes) | (Yes) | (Yes) | (Yes) | (Yes) | (Yes) |
ALLOW-FROM | ? | ? | ? | ? | ? | ? | ? |
本文档系腾讯云开发者社区成员共同维护,如有问题请联系 cloudcommunity@tencent.com
