在 HTTP 响应头中,有个 X-Frame-Options 字段,代表着浏览器是否能够将当前页面在 <frame>``<iframe>``<embed>``<object>中渲染。
目前,X-Frame-Options 可以取下面两个值
DENY
表示不允许浏览器在上述标签中渲染
SAMEORIGIN
只有父frame同源的页面才可以渲染。
还有一个指定源 ALLOW-FROM=url,目前已不推荐使用,现代浏览器已不支持该参数。
在 IIS中,可以这样设置 X-Frame-Options 头:
<system.webServer>
…
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
…
</system.webServer>
网友评论