原文鏈接:http://caibaojian.com/x-frame-options.html
via在自己新做的一個網站“開發頭條”上發現用iframe嵌入github的內容時,一篇空白,什么東西都沒有。打開chrome 調試,發現里面輸出一個錯誤提示:Refused to display 'https://github.com/hwclass/awesome-sound' in a frame because it set 'X-Frame-Options' to 'deny'. 搜索了一下這個東西。原文來自:http://caibaojian.com/x-frame-options.html
X-Frame-Options是什么?
X-Frame-Options是一個HTTP標頭(header),用來告訴瀏覽器這個網頁是否可以放在iFrame內。例如:
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM http://caibaojian.com/
第一個例子告訴瀏覽器不要(DENY)把這個網頁放在iFrame內,通常的目的就是要幫助用戶對抗點擊劫持。
第二個例子告訴瀏覽器只有當架設iFrame的網站與發出X-Frame-Options的網站相同,才能顯示發出X-Frame-Options網頁的內容。
第三個例子告訴瀏覽器這個網頁只能放在http://caibaojian.com//網頁架設的iFrame內。
不指定X-Frame-Options的網頁等同表示它可以放在任何iFrame內。
X-Frame-Options可以保障你的網頁不會被放在惡意網站設定的iFrame內,令用戶成為點擊劫持的受害人。
另外查了最新的資料,還可以直接通過meta標簽來設置,不需要放在http頭部請求中了。
<meta http-equiv="X-Frame-Options" content="deny">
兩個參數:(作用與上面一致)
- SAMEORIGIN
- DENY
注明出處格式:前端開發博客 ( http://caibaojian.com/x-frame-options.html)