X-Frame-Options响应头用于控制浏览器是否允许在<iframe>或<frame>中展示页面,防止点击劫持。设置为DENY时,页面无法在任何框架中显示;设置为SAMEORIGIN则仅允许同源页面展示;ALLOW-FROM允许指定来源的页面加载。Apache服务器可配置全局发送此头。火狐在加载失败时会在框架中显示为空白。
X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面<FRAME>
或 <IFRAME>中. 以确保网站内容是不是嵌入到其它网站.
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="X-Frame-Options" content="SAMEORIGIN / DENY ">
<title> X-Frame-Options </title>
</head>
使用X-Frame-Options 有两种可能的值:
DENY :该页无法显示在一个框架中.
SAMEORIGHT :页面只能显示在页面本网站的框架中.
换句话说,通过<IFRAME>/<FRAME> 框架加载页面,如果你指定DENY,不仅会尝试加载在一个
框架页面失败,其它网站加载也会失败。 另一方面,如果你指定 SAMEORIGHT, 其它网站加载会失败,
它可以作为页面相同的站点加载。
可以配置Apache为所有网页发送X-Frame-Options.
当试图加载到 <IFRAME>/<FRAME> 框架中的内容有X-Frame-Options 的选项头失败时, 火狐目前 在<IFRAME>/<FRAME> 呈现是空白。
详细说明看下面文章========>
原文:http://www.css88.com/archives/5141
使用 X-Frame-Options 有三个可选的值:
- DENY:浏览器拒绝当前页面加载任何Frame页面
- SAMEORIGIN:frame页面的地址只能为同源域名下的页面
- ALLOW-FROM:origin为允许frame加载的页面地址
eg:
<meta http-equiv="X-Frame-Options" content="ALLOW-FROM http://optimizely.com">
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
