The X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 可否在 <frame>、 <iframe>、<embed> 或者 <object> 中展现的标记。
站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 clickjacking 攻击。
The added security is only provided if the user accessing the document is using a browser supporting X-Frame-Options. Content-Security-Policy
HTTP 头中的 frame-ancestors 指令会替代这个非标准的 header。
CSP 的 frame-ancestors 会在 Gecko 4.0 中支持,但是并不会被所有浏览器支持。
然而 X-Frame-Options 是个已广泛支持的非官方标准,可以和 CSP 结合使用。
网友评论