1. 程式人生 > >關於HTTP頭部資訊X-Frame-Options的問題-防止網站被人巢狀

關於HTTP頭部資訊X-Frame-Options的問題-防止網站被人巢狀

有時候為了防止網頁被別人的網站iFrame,我們可以通過在伺服器設定HTTP頭部中的X-Frame-Options資訊
使用 X-Frame-Options 有三個可選的值:

DENY:瀏覽器拒絕當前頁面載入任何Frame頁面

SAMEORIGIN:frame頁面的地址只能為同源域名下的頁面

ALLOW-FROM:origin為允許frame載入的頁面地址

說到這裡肯定會問我設定方法,請往下看:

Apache配置
在你配置站點的地方新增一行:
Header always append X-Frame-Options SAMEORIGIN

nginx配置:

add_header X-Frame-Options SAMEORIGIN;

IIS配置:

<system.webServer>
 ...

 <httpProtocol><customHeaders><add name="X-Frame-Options" value="SAMEORIGIN" /></customHeaders></httpProtocol>

 ...
</system.webServer>


HAProxy配置

      rspadd X-Frame-Options:\ SAMEORIGIN

PHP和JSP等動態檔案更方便
改一下頭資訊

     PHP程式碼: header(‘X-Frame-Options:SAMEORIGIN’);
   JSP程式碼: response.setHeader(“X-Frame-Options”,”SAMEORIGIN”);