X-Frame-Options HTTP 响应头

关于 X-Frame-Options HTTP

X-Frame-Options HTTP 响应头怎么设置？X-Frame-Options: sameorigin HTTP 响应头有什么用？

The X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 
可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。
站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免 clickjacking 攻击。
The added security is only provided if the user accessing the document is using a browser 
supporting X-Frame-Options. Content-Security-Policy HTTP 头中的 frame-ancestors 指令会替代这个
非标准的 header。CSP 的 frame-ancestors 会在 Gecko 4.0 中支持，但是并不会被所有浏览器支持。
然而 X-Frame-Options 是个已广泛支持的非官方标准，可以和 CSP 结合使用。

X-Frame-Options HTTP 参数

X-Frame-Options HTTP 响应头还有那些其他参数如何使用？
X-Frame-Options 有三个可能的值：
X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/
换一句话说，如果设置为 deny，不光在别人的网站 frame 嵌入时会无法加载，在同域名页面中同样会无法加载。另一方面，如果设置为sameorigin，那么页面就可以在同域名页面的 frame 中嵌套。
deny
表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。
sameorigin
表示该页面可以在相同域名页面的 frame 中展示。
allow-from uri
表示该页面可以在指定来源的 frame 中展示。

X-Frame-Options HTTP 配置

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头，需要把下面这行添加到 'site' 的配置中:
Header always set X-Frame-Options "sameorigin"
要将 Apache 的配置 X-Frame-Options 设置成 deny , 按如下配置去设置你的站点：
Header set X-Frame-Options "deny"
要将 Apache 的配置 X-Frame-Options 设置成 allow-from，在配置里添加：
Header set X-Frame-Options "allow-from https://example.com/"

配置 Nginx

配置 nginx 发送 X-Frame-Options 响应头，把下面这行添加到 'http', 'server' 或者 'location' 的配置中:
add_header X-Frame-Options sameorigin always;

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头，添加下面的配置到 Web.config 文件中：
<system.webServer>
 ...  <httpProtocol>
   <customHeaders>
     <add name="X-Frame-Options" value="sameorigin" />
   </customHeaders>
 </httpProtocol>

 ...</system.webServer>
在 Firefox 尝试加载 frame 的内容时，如果 X-Frame-Options 响应头设置为禁止访问了，那么 Firefox 会用 about:blank 展现到 frame 中。也许从某种方面来讲的话，展示为错误消息会更好一点。

.htaccess方法

在网站根目录下的.htaccess文件中中加一句
Header append X-FRAME-OPTIONS "SAMEORIGIN"

PreviousCookie、Session、Token、JWT NextCookie 属性

Last updated 4 years ago

Was this helpful?