X-Frame-Options 与 iframe 嵌套
莫名其妙碰到一个 bug,我们后台的一个界面,在我们外层界面使用 iframe 嵌套的话,该界面会显示空白,没发出任何请求,而单独打开该界面的话,立马正常显示。
抓包看之,结果该界面的响应头,多了一个 X-Frame-Options 头,值为 deny
百度之,该响应有如下作用:
修改 Web 服务器配置,添加 X-frame-options 响应头。赋值有如下三种:
DENY:不能被嵌入到任何 iframe 或 frame 中。SAMEORIGIN:页面只能被本站页面嵌入到 iframe 或者 frame 中。ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
该参数可以有效防止界面被不法网站 iframe 嵌套,兼容性好,十分有效恍然大悟,通知后台修改了一下。又学了一招。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
上一篇: 只兼容 chrome 浏览器的方式
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论